で、おそらく Windows ルート証明書の更新が行われるタイミングで、既にインストールされている DigiNotar のルート証明書が削除されるのではないかと思います。
Windows XP では Windows Vista 以降と違ってルート証明書をオンデマンドでインストールする仕組みが無い上に、CLR の確認も既定では無効なので、Windows Update で「ルート証明書の更新プログラム」が提供されないとだめなんですね。
Windows XP の場合、既定で DigiNotar のルート証明書が証明書ストアにインストール済みなので、問い合わせのシステムでは対処できないのですね。
次回の Windows Update (またはそれより早い時期) の XP 用の「ルート証明書の更新プログラム」で削除されるという事になるのでしょう。
証明書失効プロセス (スコア:1)
IE 以外は CRL や OCSP に対応していないのかなあ。
Re:証明書失効プロセス (スコア:5, 参考になる)
IEはOSの証明書ストアを参照していてOSの証明書ストアはWindows Updateで自動更新されるけど、Firefoxの証明書ストアはバイナリとしてDLLに埋め込まれているから。あと認証局証明書から削除するだけでは不十分だとして、DigiNotarの証明書に対する特別処理のコードを追加している(Comodoのときと同様)。
Chromeは知らないけどそもそもこの問題が発覚したのはChromeが内部に「正当な」Googleの証明書のシリアル化何かをハードコードしていて、それと一致しなかったDigiNotarの証明書に警告が出されたからなので、Chromeもハードコードされた何かを更新するのではないかな。
Re:証明書失効プロセス (スコア:3, 参考になる)
OCSP 自体は標準規格なので他のブラウザーでも実装しているはず (http://ja.wikipedia.org/wiki/Online_Certificate_Status_Protocol) ですが、IE 以外はこれだけでは不十分と言う事なのか、それともどこかに問題の証明機関に関してハードコードされた部分があるのか、どちらかなんでしょうね。
Re:証明書失効プロセス (スコア:2, 興味深い)
> すべてのサポートされるエディションの Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 は証明機関により信頼が確認されるマイクロソフトの証明書信頼リストを使用しています。 これらのオペレーティング システムを使用しているユーザーについて、必要なアクションはありません。マイクロソフトは、既にマイクロソフトの証明書信頼リストから DigiNotar のルート証明書を削除しました。
これがOCSPやCRLのことだとは読めないんだけど。OCSPやCRLの情報はマイクロソフトじゃなくて認証局や証明書の発行者が作成するものだし。
> デジタル証明書に署名した証明機関 (CA) によりホストされている OCSP レスポンダーに接続することにより、
今回の場合署名したのはDigiNotar自身でしょ。OCSPでルート証明書を失効させられるとも思えないんだけど。
アドバイザリのFAQをよく読めばわかるけど、DigiNotarのルート証明書じゃなくてそれを使って発行された不正な証明書を失効させるためにOCSPとCRLを使うって書いてるよ。
Firefoxが追加したコードは、不正に発行された*.google.comの証明書のコードをユーザーが「またオレオレか」と追加できないようにするものと、DigiNotarの証明書は今回のルート証明書だけではなく他のCAからクロス署名されて中間証明書として使われているものが大量にあるから、CNでマッチを掛けてブロックするというもの。
Re:証明書失効プロセス (スコア:2)
で、おそらく Windows ルート証明書の更新が行われるタイミングで、既にインストールされている DigiNotar のルート証明書が削除されるのではないかと思います。
Windows XP では Windows Vista 以降と違ってルート証明書をオンデマンドでインストールする仕組みが無い上に、CLR の確認も既定では無効なので、Windows Update で「ルート証明書の更新プログラム」が提供されないとだめなんですね。
Re:証明書失効プロセス (スコア:2)
問い合わせの仕組み、XPにもありますよ。Windows自身が対象のルート証明書を持っていない場合限定(つまりインストール済みルート証明書の定期的なリフレッシュはできない)ですが。
http://blogs.technet.com/b/jpntsblog/archive/2009/12/24/windows-pki-2.aspx [technet.com]
MU/WSUS展開用の「ルート証明書の更新プログラム」はまだですが、下記にある証明書リスト(上記の自動アクセス用?)だと既にDigiNotarのルート証明書1個が削除リスト(ルート証明書なのでCRLによる失効はできない)に追加されています。
セキュリティ侵害の規模がはっきりしない以上、マイクロソフトとしてはこのルート証明書を丸ごと無効にせざるを得ないってことなんでしょうか。
http://www.download.windowsupdate.com/msdownload/update/v3/static/trus... [windowsupdate.com]
Re:証明書失効プロセス (スコア:1)
次回の Windows Update (またはそれより早い時期) の XP 用の「ルート証明書の更新プログラム」で削除されるという事になるのでしょう。
Re: (スコア:0)
こういうのってその後証明書の会社はどうなっちゃうの?
商売にならなくなるんだよね?