現地時間の8月30日付で Firefox 6.0.1 がリリースされていた模様。

• Mozilla Firefox 6.0.1 Release Notes (Mozilla Corporation) (和訳)
• MFSA 2011-34: Protection against fraudulent DigiNotar certificates (mozilla.org) (和訳)
• 「Firefox」「Thunderbird」のバージョン6.0.1公開、偽SSL証明書問題に対応 (INTERNET Watch)
• Firefox、偽Google.com SSL証明書に対処 (マイコミジャーナル)
• 【NEWS】Mozilla、偽SSL証明書問題に対処した「Firefox」「Thunderbird」v6.0.1を公開 (窓の杜)
• Firefox、Thunderbird、SeaMonkey のセキュリティアップデートが公開された (MozillaZine.jp)

今回のリリースはセキュリティアップデートで、不正な SSL 証明書を発行した DigiNotar 社のルート証明書が削除されている。

「*.google.com」に対して発行された偽のSSL証明書が、発行から50日経過してから取り消されたことが明らかになった。イラン政府機関による中間者攻撃ではないかとの疑惑も出ているが、真偽は確認できていない。

(中略)

証明書は、オランダの認証局DigiNotarが7月10日に発行していた。同社は8月29日にこの証明書を取り消している。そのため、被害が沈静化することが期待される。

[引用元 : INTERNET Watch : 「google.com」に対する偽SSL証明書が見つかる、認証局が取り消し (2011/8/30 11:18)]

DigiNotar 社の報告によれば、他にも複数の不正な証明書が発行され実際に使用されている形跡があるようですが、今回のセキュリティ侵害の全容はまだ明らかになっていません。

ユーザを保護するため、Mozilla では DigiNotar 社のルート証明書を各製品から削除する措置を取りました。

[引用元 : mozilla-japan.org : MFSA 2011-34: DigiNotar 社の不正な SSL 証明書からの保護 (2011/08/30)]

FirefoxとThunderbirdのバージョン6.0.1では、オランダの認証局DigiNotarが「*.google.com」に対する偽のSSL証明書を発行していた問題に対応。DigiNotarのルート証明書を無効化した。また、Firefox 3.6についても、同様の対応を行ったFirefox 3.6.21を公開した。

[引用元 : INTERNET Watch : 「Firefox」「Thunderbird」のバージョン6.0.1公開、偽SSL証明書問題に対応 (2011/8/31 19:24)]

というわけで、さっそく [ヘルプ(H)] - [Firefox について(A)] - [ソフトウェアの更新を確認(C)] からアップデート。

なお、 User-Agent と Build ID は、

Mozilla/5.0 (Windows NT 5.1; rv:6.0.1) Gecko/20100101 Firefox/6.0.1 ID:20110830092941

となった。

ちなみに、 Windows 環境については、

セキュリティアドバイザリでは、Windows 7/VistaおよびWindows Server 2008 R2/2008については、DigiNotarのルート証明書によって署名されたウェブサイトの閲覧やプログラムのインストールを行った場合でも、証明書失効のエラーが表示されるため、特にユーザー側で対策を行う必要はないと説明。一方、Windows XPとWindows Server 2003については、更新プログラムの提供を検討中としている。

[引用元 : INTERNET Watch : 「google.com」の偽SSL証明書問題、MSがセキュリティアドバイザリを公開 (2011/8/30 18:24)]

とのことだったため、 XP なわたしは、手動で Windows の証明書ストアから DigiNotar Root CA のルート証明書(と念のため DigiNotar Root CA G2 のルート証明書もついでに)を削除しておいた。