2008年5月16日に、JPCERT コーディネーションセンターより、Debian GNU/Linux、Ubuntu などのディストリビューションに含まれる、OpenSSLのパッケージに脆弱性があることが発見されたとのアナウンスがありました。
この脆弱性には、推測可能な乱数を生成する問題があり、第三者に暗号化された通信を復号される可能性や、証明書を使った公開鍵認証が回避される可能性があります。
当該バージョンのLinuxディストリビューションを利用して鍵を生成し、SSLサーバ証明書を取得している場合には、証明書の再取得が強く推奨されています。
問題のあるディストリビューションや対応の確認、技術的詳細などは、JPCERTコーディネーションセンターの報告をご参照ください。
http://www.jpcert.or.jp/at/2008/at080008.txt
弊社のSSLサーバ証明書は、標準のサービスとして、有効期間内であれば無償で何度でも再発行が可能です。脆弱性が含まれる証明書をご利用のお客様は、証明書の再取得をお勧めいたします。
◎脆弱性対策の手順につきましては、必ずJPCERT コーディネーションセンターの報告書をご確認ください。
1.お使いの鍵に脆弱性が含まれているかどうかを確認。
2.脆弱性が含まれるOpenSSLのパッケージを最新に更新。
3.改めて秘密鍵の生成を行い、脆弱性が含まれない鍵から生成されたCSRで証明書の再取得を行う。
http://jp.globalsign.com/support/index.php?action=artikel&cat=2&id=42&artlang=ja
証明書の再発行にはGSパネルへのログインが必要です。パスワードをお忘れでGSパネルへのログインができない場合には、以下のページをご覧ください。
http://jp.globalsign.com/support/index.php?action=artikel&cat=2&id=44&artlang=ja
※ホスティング環境など、サーバをお客様ご自身で運用されていない場合には、脆弱性の対応状況をサービス提供元にご確認ください。
※弊社では、再発行手続きに関するお問い合わせのみ承ります。脆弱性そのものに関する情報は、各ディストリビューターにお問い合わせください。
◎なお、弊社で運用されておりますシステム、サービスプラットフォーム、ルート証明書や中間証明書などの鍵につきましては、今回の脆弱性の問題が含まれていないことを確認しております。
ご質問や不明な点などございましたら、下記よりお問い合わせください。
E-mail:info@globalsign.co.jp
TEL:03-5728-1551
