お知らせ

「Black Hat USA 2009カンファレンス」において発表されたSSLに関する脅威について

2009年08月10日 11:13 お知らせ

「Black Hat USA 2009カンファレンス」において、SSLに関する潜在的な脅威が発表されました。

【Null文字の脅威について】

SSLサーバ証明書のドメイン名に「Null文字」を埋め込むことで、ブラウザやその他のアプリケーションソフトウェアが証明書を誤って解釈する可能性があることが指摘されました。

グローバルサインではドメイン名を表すCommon Name(CN)に「Null文字」を含むSSLサーバ証明書は一切発行ができない仕様になっております。
従って、仮に悪意を持ったユーザが「Null文字」を含むCSR(証明書要求)で申請をした場合も、このような申請に対し証明書を発行することはなく、グローバルサインの証明書がこの種の攻撃に悪用されることはありません。

【MD2衝突の脅威について】

Message Digest Algorithm 2(MD2)を使用した証明書が、今後数ヶ月の間に原像攻撃(Pre-image Attack)の対象となる可能性が指摘されました。

グローバルサインでは、証明書にMD2のハッシュアルゴリズムを使用したことは過去にないため、本脆弱性の攻撃対象となることはございません。
グローバルサインは、1996年からはMD5についても使用をやめ、最も古くからSHA-1アルゴリズムを採用している認証局です。

今後も皆様に信頼していただけるサービス提供に尽力して参ります。

お問い合わせ

ご質問や不明な点などございましたら、下記よりお問い合わせください。