"*.google.com"の偽SSL証明書が5週間前に発行
多くのGoogleのSSLサービスに対してMan-in-the-Middle攻撃可能にする ”*.google.com”というワイルドカードを使ったSSL証明書が発行されてしまったようです。
この問題の証明書はオランダの認証局DigiNotarで7月10日に発行されました。証明書は証明書失効リスト(CRL)に載せられて無効になるようにされていますが、ブラウザによってはデフォルトでCRLをチェックしないこともあるので、有効なままなこともあります。
そして、イランがGmailをスパイするためにこの証明書を使ったのではないかという話もあるようで、すでに攻撃に使われているかもしれません。
FirefoxやThunderbirdはアップデートによって、この証明書を発行したDigiNotarのルート証明書を無効にする措置を執るとのこと。しかし、まだ証明書を発行したDigiNotarからは何の発表もないようです。対策されるまでは、自らDigiNotarのルート証明書を削除、または信頼しないように設定しておくのが賢明ではないでしょうか。
- Falsely issued Google SSL certificate in the wild for more than 5 weeks | Naked Security
- Attackers Obtain Valid Cert for Google Domains, Mozilla Moves to Revoke It | threatpost
- Gmail.com SSL MITM ATTACK BY Iranian Government -27/8/2011 - Pastebin.com
3月頃に起きたComodoの事件に似ていますね。