この記事は Qt Blog の "What the DigiNotar security breach means for Qt users" を翻訳したものです。
執筆: Peter Hartmann, 2011年9月2日
先日、オランダの認証局である DigiNotar 社のセキュリティ問題に関する多数のニュースが流れました。この問題に関しては SANS Internet Storm Center が 詳しい説明 を公開しています。
今のところ、不正な *.google.com の証明書は Qt(4.7 と今後リリース予定の 4.8 と 5.0) では ブラックリスト に載っています。しかし、それらだけが世に出た不正な証明書ではありません(Google Chrome は少なくとも 247 個の証明書をブラックリスト に載せました)。そればかりか、この記事の執筆時には問題のある証明書の全リストはありません。
Qt 4.7.0 のリリース時から、Qt はルート証明書をシステムから読み込んでいます。すなわち、使用しているオペレーティングシステムが DigiNotar 社の証明書を削除するアップデートをリリースしていれば、DigiNotar 社の問題となる証明書は Qt では一切承認されません。
4.7 よりも前の Qt では、ルート証明書を(少し古いものですが)同梱しています。しかし、その中には DigiNotar 社のルート証明書は含まれていないので、特別な対応は必要有りません。
問題となるルート証明書はほとんどのオペレーティングシステムで削除されました。これで再び問題なく動くようになったように思えます。しかしながら、この問題はもっと複雑です。DigiNotar 社に属していながら、DigiNotar 社ではなく第三者のルート認証局によって認証された中間 CA 証明書(「クロス証明書」と呼びます)があるからです。そのような証明書はルート証明書から DigiNotar 社のものを削除しても影響されません。また、すべての不正な証明書は同一の中間局から発行されたように見えます(オランダの情報源)。しかし、不正な証明書の完全なリストが存在しないため、確かなことは分かりません。
DigiNotar 社のルート証明書の削除だけで問題の解決に十分であったかどうかは未だ不明です。
この記事のクロスチェックを行ってくれた KDE の Rich Moore に感謝します。