DigiNotarの不正な証明書の件

マイクロソフトセキュリティアドバイザリ (2607712) の件。Vista 以降は自動的に対策されるとのことだったが、昼に Windows Update が走っても何も変化がなかったので手動で対処してみた。
DigiNotar 側で対策が取られた場合は全体をブラックリストする必要はないので戻すことになるはずだ。

9/6追記

現在は DigiNotar 自身が他社のルート証明書を使っているため、以下の diginotar.com に HTTPS でアクセスする手法では設定の確認ができない。

IE 編

1.https://www.diginotar.com/ にアクセスする。証明書のエラーが表示された場合は対策済み。
2.ファイル名を指定して実行から certmgr.msc を実行する。
3.信頼されたルート証明機関 > 証明書で DigiNotar Root CA を探す
4.信頼されていない証明書 > 証明書に右ボタンでドラッグ&ドロップ > ここにコピー*1
5.ブラウザウインドウを一旦すべて閉じる。
6.https://www.diginotar.com/ にアクセスして証明書のエラーが出ることを確認する。

元に戻すには、信頼されていない証明書 > 証明書で DigiNotar Root CA を右クリックして削除する。

Opera 編

1.https://www.diginotar.com/ にアクセスする。証明書のエラーが表示された場合は対策済み。
2.ツール > 設定 > 詳細設定 > セキュリティ > 証明書の管理... > 認証機関 > DigiNotar Root CA を選択する。
3.表示... から証明書を表示する。
4.この証明書を使用するサイトへの接続を許可するのチェックをはずす。
5.ブラウザウインドウを一旦すべて閉じる。
6.https://www.diginotar.com/ にアクセスして証明書のエラーが出ることを確認する。

元に戻す場合は「この証明書を〜」にチェックを入れる。

その他のブラウザ

Firefox / Chrome は対策版が出ている。Chromium 系の独自ビルドでまだ対策版が出ていない場合、それらは元々システムのルート証明書を参照するので手順は IE と共通となる。

ちなみに

DigiNotar Root CA を単に削除しても、DigiNotar 発行の証明書を使ったサイトに行くと復活するので意味がない。
つまり手順1を行わないと DigiNotar Root CA が見つからない場合がある。

*1:エクスポート&インポートしてもよい。また右クリック > プロパティで無効にもできるようだ。