WoSignとStartComの不正行為が今夏発覚した際、Mozillaは不正な認証局への処罰計画を迅速に策定しました。先週、人気ウェブブラウザFirefoxを支える非営利団体は、両認証局に対して講じる措置のリストを公開しました。そして今、Googleも同様の措置を取り、10月21日以降に発行されるWoSignとStartComの証明書を信頼しないことを発表しました。
WoSignの不正行為にMozillaとAppleが反応
今年初め、中国の認証局であるWoSignが、2016年1月1日以降SHA-1証明書の発行を停止するという認証局の新ポリシーを回避するため、SHA-1証明書の発行日を遡って発行していたことが発覚しました。またWoSignは、著名な認証局であるStartComを買収し、StartComが自社の証明書インフラをWoSignのものに置き換えたという事実を開示していませんでした。Mozillaは、認証局にこのような情報の開示を義務付けているため、この点を問題視しました。
AppleもWoSignに対して迅速に対応しました。9月30日、iOSとmacOSのセキュリティアップデートにおいて、WoSignからの新しい中間証明書をブロックすると発表しました。既存の証明書保有者のサービスに支障をきたさないよう、Appleは2016年9月19日までに証明書の透明性(Certificate Transparency)ログが記録された証明書のみを受け入れると発表しました。また、WoSignが新しい信頼できるルート証明書に移行した後、すべての証明書は最終的にブロックされるとし、必要に応じて既存の証明書をブロックしたり、さらなる措置を講じたりする権利を留保するとしました。
Google、次はWoSignに対して行動を起こす
GoogleはMozillaと協力してWoSignの調査を進めており、最近調査は終了しましたが、不正な認証局への対応計画についてはこれまで明らかにしていませんでした。しかし、GoogleはMozillaやAppleに対しても同様の措置を取る準備が整っているようです。
Chrome バージョン 56 以降、 Google は 10 月 21 日以降に発行される WoSign または StartCom の新しい証明書を信頼しなくなります。既存の証明書は、証明書の透明性ポリシーに準拠しているか、WoSign および StartCom の既知の顧客のうち限られた数に発行されている場合は、引き続き信頼されます。Google は、技術的な制限により、ユーザーの十分な保護を確保する必要がある場合、既存の証明書の一部が Chrome 56 で動作しなくなる可能性があると述べています。
今後のChromeリリースでは、すべての証明書が信頼されなくなります。この段階的な対応は、サイトが新しいCAに移行する機会を提供することで、混乱を最小限に抑えることを目的としています。GoogleはMozillaと同様に、これらの制御を回避しようとする試みがあった場合、WoSignおよびStartComのすべての証明書を即時禁止すると発表しました。
Mozilla、Apple、Googleはいずれも、WoSignとStartComの不正行為に対する処罰計画を発表している。Microsoftと、最近中国企業に買収されたOperaは、不正な認証局への対応について何も明らかにしていない最後の2大ブラウザベンダーである。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
