MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道について　2009.1.6

2008年12月30日にドイツで開催されたセキュリティ関連の国際会議において、SSL証明書の偽造に成功したと7名のセキュリティ研究者が明らかにしました。

国内での関連報道記事は以下をご参照下さい。

日経BP社PC online
ITmedia
ITpro
ZDNet Japan
Security NEXT
インターネットコム

問題となっているのは、多くの大手認証局が採用する、MD5と呼ばれるアルゴリズム（ハッシュ関数）を使って作成されたデジタル署名についてであり、同じデジタル署名で偽の証明書を作成することが可能となります。

Webブラウザはデジタル署名によって証明書を検証するため、ブラウザが認定する大手認証局からの証明書と認識すれば、偽造証明書によって警告なしにSSL通信が可能となります。

このことは、フィッシング詐欺サイトのような悪質なWebサイトも大手認証局から証明書を発行された優良サイトであると謳うことが可能になることを意味します。 これが現実に行われるようになれば、ユーザにとって、SSL証明書はWebサイトを信頼できる証にはなりえなくなります。

しかしながら、アルファSSLでは、MD5は使用しておりません。 アルファSSLが使用するroot認証局では、既に次世代のアルゴリズムである、sha2の世界初のテスト証明書も発行されております。

今後も皆様に信頼していただけるサービス提供を行って参ります。