続きます。どこまで広がるんでしょう?
DigiNotar 単独ではなく、他の CA とのクロス署名のあるルート証明書と、PKIOverheid 中間証明書 ( DigiNotar B.V. CA ) への対応を追加した模様です。
2011/09/02 に "early this week." とか云われると、てっきり 2011/08/31 の Firefox 6.0.1 のことだと勘違いしましたよ。orz
(図1)
Firefox 6.0.2 更新の案内。
(画像サイズ 20.35 KB)
(図2)
Firefox 6.0.2 更新完了。
(画像サイズ 37.69 KB)
(図3)
Firefox 6.0.2 の証明書ストア。(DigiNotar B.V. の証明書が追加)
(画像サイズ 48.01 KB)
(図4)
Firefox 6.0.2 の証明書ストア。(DigiNotar B.V. の証明書、初めから無効化済み)
(画像サイズ 130.3 KB)
↑ CA に DigiNotar B.V. が追加されて、初めから無効化されてます。
Mozilla Foundation http://releases.mozilla.org/pub/mozilla.org/firefox/releases/
> Index of /pub/mozilla.org/firefox/releases
( 6.0.2 の VirusTotal: update.mar、Result: 0/ 44 (0.0%) 、本体、Result: 0/ 43 (0.0%) )
ディジタル署名の拇印は、"6f 6c d3 39 8b 11 87 d9 b3 2e 02 cd 8e a6 79 89 04 b9 6e 54" で前と同じ。
この署名、2010/09/28 から有効 ( Firefox 3.6.11 から使用 ) ですが、よもや偽物ではないでしょうね・・・。
セキュリティアドバイザリ:
Mozilla Foundation http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html
> Firefox セキュリティアドバイザリ
(中略)
> Firefox 6.0.2 で修正済み
>
> MFSA 2011-35 DigiNotar 社の不正な SSL 証明書からのさらなる保護
>
(後略)
↑レイティングは "High" ("高") 。
Mozilla Foundation http://www.mozilla-japan.org/security/announce/2011/mfsa2011-35.html
> MFSA 2011-35: DigiNotar 社の不正な SSL 証明書からのさらなる保護
(Snip)
> 概要
>
> 認証局の DigiNotar 社に対する攻撃に関してより多くの情報が明らかになったため、
> MFSA 2011-34 で追加した保護を改良しました。主な変更点は、DigiNotar 社のルート証明書と
> 複数の中間証明書への明示的な不信を追加したことです。
> 前回の修正で行ったルート証明書の削除では、他の認証局によってクロス署名されていた場合、
> 正当なものであると見なされるおそれがありました。重要なことに、この信頼できない証明書の
> リストには、DigiNotar 社の管理下にあったものの、DigiNotar 社のルート証明書チェーンになく
> 前回ブロックされなかった「PKIOverheid」(政府認証基盤) 中間証明書が含まれています。
>
(Snip)
なるほど、納得。チェーンの外ですか。(オランダ政府のオレオレ証明書? 日本だと昔の e-Tax 用のヤツみたいな?)
道理で PKIOverheid の証明書がストアに無かった訳です。 たしかに DigiNotar B.V. CA が追加されて、最初から無効化されてます。
リリースノート:
Mozilla Foundation http://mozilla.jp/firefox/6.0.2/releasenotes/
> バージョン 6.0.2 ― 2011/09/06 リリース
(Snip)
>このバージョンでの変更点
>
>この最新版では、以下の変更が行われています。
>
> Staat der Nederlanden によって発行された証明書の信頼例外を削除しました。詳しくは セキュリティアドバイザリ をご覧ください。
> gov.uk ドメインのサイトに関する問題を修正しました。(Bug 669792)
>
(Snip)
※ 思わず、Bug 669792 も見に行ってしまいましたが、DigiNotar の件とは直接関係はない模様。
ブログ:
Mozilla Japan http://mozilla.jp/blog/entry/7242/
> Mozilla Japan ブログ - Firefox と Thunderbird のセキュリティアップデートを公開しました
※ タイトルが前と同じ。(w
Mozilla Japan http://mozilla.jp/blog/entry/7214/
> Mozilla Japan ブログ - Google の一部サイトに対して発行された不正な SSL 証明書の問題
リリース予定のページ:
Mozilla Foundation https://wiki.mozilla.org/Releases/
> Releases
(履歴)
"Firefox 7 currently in BETA channel" 、"moves to RELEASED on September 27, 2011" で変わらず。
さて、あとは Windows XP 向けに Microsoft Update の定例外 ( KB931125 ) ですね。
(関連)
直リンク:
※ 日本語版差分 mar ファイル
※ 検証(verify)結果は「gpg: 09/03/11 15:56:24にDSA鍵ID C52175E2で施された署名 gpg: “Mozilla Software Releases
※ Key ID: C52175E2 と Key ID: 1EBCAB3A はペア。
http://ftp.jaist.ac.jp/pub/mozilla.org/firefox/releases/6.0.2/win32/ja/Firefox%20Setup%206.0.2.exe
※ 日本語版フルインストーラー ( 本家とミラー )
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/6.0.2/SHA1SUMS
※ SHA-1 ハッシュ、Firefox Setup 6.0.2.exe (ja) は、"73143A89AFFCDBE614523D3664A26FCFE73D5BE5" でブツと一致。
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/6.0.2/SHA1SUMS.asc
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20110831/1314798611
※ Firefox 6.0.1 リリース
http://d.hatena.ne.jp/TsuSUZUKI/20110906/1315328936
※ マイクロソフト セキュリティ アドバイザリ (2607712): 不正なデジタル証明書により、なりすましが行われる
http://d.hatena.ne.jp/TsuSUZUKI/20110831/1314726513
※ 続・マイクロソフト セキュリティ アドバイザリ (2607712): 不正なデジタル証明書により、なりすましが行われる
いじょうです。
-
- -
