「Black Hat USA 2009カンファレンス」発表のSSLに関する脅威について　2009.8.10

「Black Hat USA 2009カンファレンス」発表の新たなSSLに関する脅威について

SSLサーバ証明書のドメイン名に「Null文字」を埋め込むことで、ブラウザやその他のアプリケーションソフトウェアが証明書を誤って解釈する可能性があることと、Message Digest Algorithm 2（MD2）を使用した証明書が、今後数ヶ月の間に原像攻撃(Pre-image Attack)の対象となる可能性の2つの指摘がされました。

Null文字の脅威については、アルファSSLではドメイン名を表すCommon Name(CN)に「Null文字」を含むSSLサーバ証明書は一切発行ができない仕様になっております。root認証局に於いても同様です。従いまして、仮に悪意を持ったユーザが「Null文字」を含むCSR(証明書要求)で申請をした場合も、申請に対し証明書を発行することはなく、アルファSSLの証明書がこの攻撃に悪用されることはありません。

MD2衝突の脅威につきましては、アルファSSLでは証明書にMD2のハッシュアルゴリズムを使用したことは過去にないため、本脆弱性の攻撃対象となることはございません。中間CAであるアルファCA並びにアルファSSLで使用しているroot証明書は、SHA-1アルゴリズムを採用している認証局です。

上記の通り、アルファSSLでは、「Black Hat USA 2009カンファレンス」発表の新たなSSLに関する脅威について問題の無い事を確認済みです。

今後も皆様に信頼していただけるサービス提供を行って参ります。