詐欺証明書発行の中国WoSign、Start SSL買収を発表するが完了日も嘘だったことが発覚

先日あったルート証明書の微修正がよく分からないので調べてみた
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 - GIGAZINE
ルート証明書絡みで問題のあった 中国のWoSignですが、無料のSSLで有名な Start SSL の StartCOMを買収完了したとのニュースが掲載されていました

StartCom CA completed equity investment from WoSign

世界的な大手認証局(CA)と信頼認証サービスのプロバイダである中国でも有数のグローバルな信頼できるWoSign が100%の出資が完了したことを発表しました。

StartCOMと WoSign は2015年8月30日で株式購入契約を締結しましたが、契約を履行するために、今日2016年9月19日で株式購入を完了し、それを発表しました。

StartComとWoSignは、2010年以来の密接な協力関係となっている。StartComルート証明書だけでなく、署名付きWoSignのクロスルート証明書など、StartComは WoSignのための専門的なコンサルティングサービスを提供し、一般的なブラウザとオペレーティングシステムのさまざまな分野でWebTrust監査に合格したWoSignルート証明書を含んでいます。 2当事者は、両方の顧客のために最高品質のサービスを提供するために、いくつかのインフラ、技術開発および関連技術サービスのリソースを共有してきました。

2010年から協力関係にあったそうで、

WoSign Free SSL Certificateが3年無料でマルチドメイン対応かつStartSSLがクロスルートと最強な件 - Dマイナー志向

WoSign Free SSL Certificateは3年間無料、しかも1つのSSL証明書でマルチドメインに対応しています(100ドメインまで)。ま、マジで!
通常こういったマイナーな認証局が発行するSSL証明書はサポートするブラウザが極端に少なかったりするのですが、クロスルート方式でStartSSLをルート証明書にもつ

なんか、色々つながった感じが。

色々な意味で、Start SSLが残念な感じに

Thoughts and Observations: WoSign's secret purchase of StartCom; WoSign threatened legal actions over the disclosure
問題は、この買収劇が隠蔽されていたことにあり、そのことについて Start SSL の元従業員が問題提起しています

元StartComの従業員がWoSignが公衆やStartComユーザーに通知することなく、StartComを2015年11月に密かに買収したというニュースを発表しました。 NDAにより制約されていない彼は、https://www.letsphish.org/ に利用可能なソースからの彼の発見したすべての証拠を掲示しました。
2016年8月30日に掲載されましたが、 9月1日にWebサイトから削除されました。

要するに、2016年9月19日に買収が完了したというのは嘘で、2015年11月に買収自体は完了。
8月30日に情報がリークされてしまったため、9月19日に買収が完了したことにして発表したって感じですね。
文書に書かれているように11月1日にStart SSL の全株式が匿名企業にすべて売却されているログが残っているのに、Start SSL のTOPは、買収を否定していたそうで。実際、この情報が流出しないように躍起になっていたようです。

|。・ω・) 。o (もはや、偽装はお手の物?)

こういうのがあると、SSL自体が信頼できなくなりますよね

おすすめ

1件の返信

  1. 名無しのプログラマー より:

    SSLは、信頼できる、の次の段階に進みつつある気がします。
    comodoが島にもぐりこんだあたりから。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です