読者です 読者をやめる 読者になる 読者になる

Mozilla Flux

Mozilla関係の情報に特化したブログです。

MD5署名のSSL証明書は案外出回っていない

EV SSL証明書の普及が偽証明書を防ぐ』では、MD5アルゴリズムに脆弱性が発見され、これで署名されたSSL証明書に偽造の危険があると述べた。

では、実際のところ、MD5署名のSSL証明書はどの程度の割合で存在しているのだろうか。Firefoxのセキュリティ責任者であるJohnathan Nightingale氏によれば、意外にも14%にとどまることが判明した

調査は、2009年1月15日に実施された。Pythonで書かれたプログラムと公開されているリストを使って100万のサイトを調べ、38万2860のSSL証明書を取得。SQLiteのデータベースを構築するという大がかりなものだ。サンプルの規模、信頼性ともに十分といえよう。

また、朗報と言うべきだろうが、MD5署名のSSL証明書は2009年中に期限切れになるものが多く、2010年末までに大半の期限が切れる。原文のグラフから読み取る限りでは、その時点で残るのは全体の数%といったところ。脆弱性が明らかになった以上、認証機関が再度MD5署名の証明書を発行するとは考えられず、EV SSLかどうかはともかく、SHA-1署名の証明書に置き換わっていくことだろう。

こうした状況を踏まえれば、2011年ころにはFirefoxがMD5署名証明書のサポートを打ち切っても、混乱は少ないと思われる。