011-596-6358

対応時間:平日 10:00~17:00

Debianに含まれていたOpenSSLの脆弱性への対応

Debian GNU/Linux、及びその派生ディストリビューション(Ubuntu等)に含まれるOpenSSLのパッケージには脆弱性があることが報告されています。
2006年9月17日以降にDebian 4.0、Ubuntu 7.04/7.10/8.04 LTS、およびそれらの派生OS上で生成された鍵は影響を受ける可能性があります。該当バージョンのOS上で作成された秘密鍵、またその秘密鍵を元に発行されたSSLサーバ証明書は更新が強く推奨されます。脆弱性の技術的詳細につきましては、以下のURLをご参照ください:

  JPCERT/CC  : http://www.jpcert.or.jp/at/2008/at080008.txt
  US-CERT   : http://www.kb.cert.org/vuls/id/925211
  Debian.org : http://www.debian.org/security/2008/dsa-1571

本件に関しまして弊社では、以下の通り対応させていただきました:

  1. 発行済み証明書に関する、脆弱性有無の確認
    当社発行の全てのサーバ証明書につきまして、弊社側で上記脆弱性の有無を確認した上で、脆弱性が確認されたサーバ証明書については、その旨お申込担当者(アカウント担当者)に対し弊社からメールもしくはお電話にてご連絡済みです。
  2. 該当証明書の無償再発行
    脆弱性が確認されたサーバ証明書については、お客様からのお申し出により同一の有効期限を持つサーバ証明書を無償にて再発行させていただきました。
  3. 申請時のCSR自動チェック機能の追加
    CSRの内容を弊社側で確認し、当該脆弱性により生成され得る RSA
    鍵が利用されていないことをチェックする機能を追加しております。この機能はお客様がサーバ証明書を申請する際に使用するフォームにCSRを貼りつけていただく際に自動的に実行され、脆弱性の疑いがある場合には警告文が表示されますので、今一度ご利用のOSをご確認いただくか、弊社認証サービス部(support@xtrust.jp)までご相談ください。