StartCom は、Let's Encrypt がリリースされる前に無料の証明書 (有料更新) を提供していた数少ない認証局 (CA) の 1 つであり、現在では、すべての SSL 証明書を公開証明書透明性システムに記録する最初の認証局の 1 つでもあります。
Googleは2015年1月1日以降、すべてのExtended Validation(EV)証明書をCTシステムで発行することを義務付けています。そうでない場合、Chromeブラウザで受け入れられなくなります。ただし、通常のドメイン認証(DV)証明書は、CTシステム外で発行されることは可能です。
Googleは、シマンテックがGoogleや他社のドメインに対して、シマンテックの承認なしに証明書の発行を許可していたという度重なる失態を受け、2016年6月1日までにすべての証明書の発行を開始するようシマンテックに要求しました。Googleはこの事実を偶然発見しましたが、今後はこのような事態が再発しないよう、シマンテックに対し証明書の透明性(Certificate Transparency)システムを活用するよう求めました。
Google はまた、中国の CNNIC 認証局が不正な証明書を発行していることが判明した後、CT システムに基づいて証明書を提供するよう要請していた。
最終的には、発行されたすべての証明書をCTシステムに記録することが目標です。しかし、ブラウザベンダーはまだこれを義務化していません。これは、認証局からの反発があるかもしれないことを知っているためでしょう。だからこそ、StartComが現在行っているように、いくつかの認証局が先導的な役割を果たし始めることが重要なのです。
StartComは、すべての証明書に証明書の透明性(Certificate Transparency)を採用した最初のCAの一つですが、これが事前に計画されていたのか、それとも同社の証明書発行方法に最近発見された脆弱性への対応なのかは明らかではありません。今年3月9日、ある開発者が、ドメインの所有権を検証することなくStartComの証明書を発行することに成功しました。これは、第三者がGoogle.comの所有権を証明せずにGoogle.comの証明書を発行できる方法と似ています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
いずれにせよ、StartComがこの脆弱性に迅速に対応し、他の望ましくない解決策を探すのではなく、証明書の透明性(Certificate Transparency)を採用したことは喜ばしいことです。Certificate Transparencyは、特定のドメインに対して誤った証明書が発行されたことを誰の目にも明らかとすることで、このような事態を防ぐことを目的としています。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
