情報処理推進機構（IPA）は9月8日、脆弱性が存在する古いバージョンのOpenSSLを使い続けているWebサイトが多数に上るとして、早期の更新を求める注意喚起を行った。
　IPAによると、OpenSSLはオープンソースのSSL／TLS実装ツールキットで、まだかなりの数のサイトが2005年10月に見つかったバージョンロールバックの脆弱性を抱えたままだという。

　古いバージョンのOpenSSLには、これ以外にもサービス妨害（DoS）につながる脆弱性や、署名が不適切に扱われてしまう脆弱性などが見つかっている。OpenSSLプロジェクトは2009年3月25日にリリースしたバージョン0.9.8kでこれらの問題を解消済みである。

　IPAはOpenSSLを利用するすべてのユーザーに最新版の利用を求めている。
自社のサイトのOpenSSLのバージョンを確認し、古いバージョンを利用しているならば最新版に更新すべきである。

ベリサイン社では2010年に開始する新サービスは、ノンSSLサイトを対象に、そのWebサイトが安全だという証しとして「ベリサインのシール」(VeriSign Certified)を提供するというものだ。

ベリサイン社にはノンSSLサイトでも安全を示すシールを張りたい」という要望が以前から多くあった。そこで「SSL証明書導入の証し」の代わりに、「VeriSignが安全性を評価して、それをパスした証し」として「VeriSign Certified」シールを提供するのだという。

　安全性評価としては、まず「Webサイトでのサービスがどういったものなのか」、それに応じて「どういったことが重要なのか」を調査するほか、最低限、「企業のドメインが適切なものか」「Webサイト上にマルウェアが潜んでいないか」をチェックする。これが第一フェーズで、将来的には、パートナーなどと連携して、ネットワーク・アプリケーションの脆弱性スキャンやWebサイトのプライバシーポリシーもチェックする予定らしい。

　VeriSign Securedシールと同様に偽造防止の仕組みを採用。マルウェアのチェックは1日1回行う予定で、問題が検出されれば、ベリサイン社側で即座にシールを非表示にする仕組みも用意するということだ。

非常にノンSSLユーザーのニーズにあった新サービスで、詳細な仕様、価格などがわかり次第続報を伝えたい。