Googleは最近、複数のChromeリリースをかけて、Symantecの既存の証明書を段階的に信頼しないようにしていくと発表しました。Symantecはこの計画に難色を示し、代わりに証明書の検証プロセスを改善し、証明書が適切に発行されていることを証明するための代替策をいくつか提案しました。
GoogleがシマンテックのCAを信用しない
3月にシマンテックが数千件の証明書を不適切に発行していたことが発覚した後、Google Chromeチームはシマンテックの証明書の「最大有効期間」を段階的に9か月に短縮する計画を発表しました。Chromeブラウザはバージョン59(現在はバージョン58)からシマンテックの証明書を信頼しなくなり、2018年初頭にリリース予定のバージョン64で終了します。
証明書の有効期限(遅くとも2018年秋)後、シマンテックのお客様は、再検証された新しいシマンテック証明書を使用するか、他の場所から証明書を取得する必要があります。Chromeバージョン61以降、すべての新しいシマンテック証明書の有効期限は最大9か月までとなります。
シマンテックの反応
シマンテックが技術的にGoogleの証明書不信を阻止できる範囲は限られているものの、最も人気のあるブラウザを開発するGoogleに何らかの圧力をかけ、妥協点を見出そうとしている。シマンテックは、あまりにも多くの企業が既存の証明書に依存しており、1年半という期間では新しい証明書への移行には十分ではないかもしれない(この議論には議論の余地があるかもしれない)ことをGoogleに示すつもりだ。
シマンテックにとって、これらの顧客に自社の証明書を使い続けてもらうことが最善の利益です。これらの顧客に比較的短期間で証明書の変更を強いることは、Googleだけでなく、証明書発行プロセスの安全性確保を怠った最も大きな責任を負っていると言えるシマンテックにも悪影響を及ぼす可能性があります。証明書の有効期限を延長することで、シマンテックが他の認証局に顧客を奪われるのを防ぐことにもつながるでしょう。
シマンテックの11項目の透明性計画
シマンテックは、証明書検証プロセスの信頼性を証明するため、透明性と第三者監査の強化に注力したいと考えています。同社は、その実現に向けて11項目の計画を策定しました。
シマンテックは、既存の(かつ有効な)すべての証明書について、第三者監査機関に委託して過去の証明書の監査を実施します。シマンテックは、この監査が2017年8月31日までに完了することを望んでいます。また、シマンテックの名義で証明書を発行できるパートナー企業(CrossCert、Certisign、Certsuperior、Certisurなど)が発行した有効な証明書についても、第三者監査機関に監査を委託する予定です。この監査も2017年8月31日までに完了する予定です。さらに、2017年12月1日から2017年6月30日までの6ヶ月間、WebTrust監査を実施します。その後、新規発行されるすべての証明書について、四半期ごとにWebTrust監査を実施します。 WebTrust 監査では、証明機関が採用している制御の適切性と有効性を評価できます。シマンテックは、プロセス改善の進捗状況をコミュニティに報告する四半期ごとのレターを発行します。同社は、証明機関およびブラウザ (CA/B) フォーラムに、ベースライン要求に加えて顧客からの例外要求を追加することを推奨します。シマンテックは、プロセスについて問い合わせるブラウザに対して、より迅速かつ技術的に詳細な回答を提供することに尽力しています。2017 年 8 月 31 日までに、同社は、自動発行サービス (Let's Encrypt に類似) も使用したいより柔軟な顧客向けに、有効期間が 3 か月だけの証明書の提供を開始します。証明機関会社は、有効期間が 9 か月を超える発行済み証明書すべてについて、顧客に追加費用なしでドメイン再検証を実行します。シマンテックは、セキュリティおよびリスク評価への投資を増やし、また、業務のリスク評価を実施するために第三者に支払いを行います。この監査は2017年10月31日までに完了する予定です。同社は、特定のユースケースに特化したルート証明書の提供、またはサブ認証局の設立を開始します。例えば、クローズドシステムのセットトップボックスやPOSシステム向けのルート証明書の提供などが考えられます。シマンテックは、自社のマルウェア対策サービスを用いて、暗号化されたウェブサイトがインターネットユーザーに脅威を与えていないか調査を開始します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Chromeのような主要ブラウザから罰を受けることは、認証局にとって致命傷となる場合もあり、だからこそシマンテックはこの問題を今、非常に深刻に受け止めているのでしょう。Googleがシマンテックの証明書を段階的にでも全て不信任化する計画がなければ、シマンテックはプロセス改善のためにこのような措置を講じることはなかったでしょう。
これらの措置が、Googleがシマンテックの証明書の信頼を解除する計画を撤回するのに十分かどうかはまだ不明です。この件に関して、Googleはすぐにコメントを得られませんでした。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
