TrustAsia Pulls 143 Certificates Following Critical LiteSSL ACME Vulnerability
2026/01/24 gbhackers — TrustAsia が 143 件の SSL/TLS 証明書を失効させた背景にあるのは、LiteSSL ACME サービスにおいて発見された深刻な脆弱性の存在である。2026年1月21日に開示された脆弱性は、異なる Automatic Certificate Management Environment (ACME) アカウント間でドメイン検証データを再利用できてしまうという問題を含んでいる。それにより、検証済みのドメインに対して、他のユーザーによる不正な証明書発行が可能となっていた。この脆弱性は、各証明書発行ごとに一意のドメイン検証を義務付ける CA/Browser Forum Baseline Requirements (TLS BR Version 2.2.2/Section 3.2.2.4) に違反するものだ。
この脆弱性の根本的な原因は、LiteSSL の ACME サービスにおける Authorization オブジェクト処理のロジック・エラーである。初回のドメイン検証を実施した ACME アカウントと同一のアカウントから、Certificate Signing Request (CSR) が送信されているのかどうかを、このサービスは検証していなかったと、Mozilla は指摘している。
この不備を悪用する攻撃者は、証明書発行プロセスを乗っ取り、DNS-01 チャレンジを再実行することなく、任意のドメインに対するワイルドカード証明書を取得できた。研究者たちが確認したのは、DNS-01 検証チャレンジのキャッシュを、LiteSSL が 過度に長期間保持していたことであり、それにより悪用可能な期間が大幅に拡大していた。
インシデント・メタデータ
| Field | Value |
|---|---|
| Certificate Authority | TrustAsia |
| Affected Service | LiteSSL ACME |
| Vulnerability Type | Domain Validation Reuse / Authorization Bypass |
| Certificates Impacted | 143 total (140 revoked, 3 previously revoked) |
| Issuance Period | After December 29, 2025 |
| Protocol | ACME (DNS-01 challenge) |
この問題の影響を受けた 143 件の証明書は、2025年12月29日以降に ACME プロトコルを通じて発行されたものだ。この脆弱性を確認した TrustAsia は、直ちに ACME 証明書発行サービスを停止し、包括的なシステム是正/修復対応を開始した。
同社は数時間以内にコード修正を完了し、本番環境へパッチを展開したうえで、その時点で有効だった 140 件の証明書を失効させたが、残りの 3 件はすでに失効されていたと述べている。また TrustAsia は、本番環境におけるすべての ACME Authorization の状態を VALID から REVOKED へリセットし、証明書発行を再開する前のクライアント側での再検証を強制した。
このインシデントは、CA/Browser Forum 要件への非準拠に該当する。TrustAsia は、根本的な原因の分析を行い、非準拠が開始した正確な時点を明記する包括的な Full Incident Report の公開を約束している。TrustAsia は、脆弱性の発見から 8 時間以内に問題を封じ込め、サービスを完全に是正することで、迅速なインシデント対応を示した。
インシデント・タイムラインおよび技術情報
| Time (UTC+8) | Event | Details |
|---|---|---|
| 14:55 | Report Received | Community report via V2EX flagged domain validation reuse issue |
| 15:10 | Preliminary Confirmation | Issue confirmed; ACME issuance service suspended immediately |
| 15:30 | Scope Investigation | Impact scope identified; certificate investigation began |
| 15:33 | Initial Revocation | Two certificates from community report revoked |
| 21:00 | Code Fix Completed | Fix validated successfully in test environment |
| 21:21 | Full Scope Identified | All 143 affected certificates identified; batch revocation initiated |
| 21:30 | Revocation Completed | 140 valid certificates revoked (3 previously revoked) |
| 21:41 | Production Deployment | Patched code deployed to production environment |
| 22:35 | Authorization Reset | All ACME Authorizations reset from VALID to REVOKED; re-validation requested |
| 22:50 | Internal Validation | Production environment validation completed successfully |
| 23:00 | Service Restored | External ACME issuance service fully restored |
2025年12月29日から 2026年1月21日の間に、LiteSSL ACME を通じて証明書を発行した組織にとって必要なことは、証明書の状態を確認し、不正な再発行の可能性に備えることである。このインシデントが浮き彫りにするのは、ACME 実装におけるアカウント・コンテキスト検証の重要性と、証明書検証ワークフローにおけるユーザー・ドメイン間の厳格な分離が不可欠であることだ。
認証局である TrustAsia が、LiteSSL ACME サービスで発行された 143 件の SSL/TLS 証明書を失効させるという事態に陥りました。この問題の原因は、ドメイン所有権を確認する ACME プロトコルの処理プロセスにおいて、一度完了した検証結果を別のアカウントで再利用できてしまう、認可のロジック・エラーにあります。
本来であれば、ACME プロトコルでは証明書を発行するたびに、その申請者がドメインを管理していることを一意に証明する必要があります。しかし、LiteSSL のシステムでは、最初にドメイン検証 (DNS-01チャレンジ) を成功させたアカウントと、実際に証明書を発行申請 (CSR 送信) するアカウントが、同一であることを正しくチェックしていませんでした。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.