グーグルはセキュリティブログで、中間証明書がこの偽造証明書を発行し、この証明書をANSSIにリンクさせたと主張しています。
"中間証明書はCAの認証をすべて伝えるので、そのような中間証明書を取得した人は誰でも、取得したいウェブ証明書を詐称するためにそれを使用することができます。"グーグルはブログでこのように書いています。
ANSSIのレトリックから、サイバー防衛組織は、中間証明書が実際にはインフラ管理のためのANSSI独自の信頼管理アーキテクチャ(「L'infrastructure de gestion de la confiance de l' administration」)であることを明らかにしました。ANSSIは、それ自体がフランスのネットワークレスポンスとセグメンテーション監視メカニズムです。
ANSSIは、偽造された証明書は「ITの安全性を高めるために使用過程で発生する人為的ミス」の結果であるとしています。このミスは、ネットワーク全体のセキュリティに影響を与えるものではなく、フランス政府や一般市民にも影響を与えるものではありません。
グーグルは、暗号化されたトラフィックを識別し監視するために、プライベートネットワーク環境で使用される商用デバイスに証明書が採用されていると考えています。Googleの話によると、ユーザーはネットサーフィンをする際に、このようなことが起きていることを二重に認識する必要がありますが、この操作はANSSIの手続き原則に違反しています。
Googleはこの事件を利用して証明書の透明性の必要性を強調し、中間者攻撃やオンライン詐欺につながりやすいSSL証明書システムの欠陥を修正する意向です。このような脆弱性に対するGoogleの対応は、CAフレームワークを使用して、これらの証明書の監視とレビューを可能にすることで、準拠していない証明書が侵入しようとしたときに、不正なCAを排除または隔離できるようにすることです。
このような枠組みがCAによって採用され、可決された場合、その効果は最終的にどのCAに加盟するかによって異なります。
