Googleは、2017年10月以降、Chromeブラウザで信頼されるには、公的に信頼されているすべてのウェブサイト証明書がChromeの証明書透明性ポリシーに準拠する必要があると発表しました。Mozillaはまた、WoSignとその子会社StartComが多数の証明書を侵害していたという暴露への対応計画も発表しました。
証明書の透明性の義務化
Certificate Transparency(証明書の透明性)は、ウェブサイトの証明書を監視および監査するためのオープンソースフレームワークです。Googleによって開発され、その後、すべてのブラウザが採用できるIETFオープンスタンダードとなりました。このフレームワークの背後にある考え方は、偽造証明書の発行や認証局(CA)の不正行為を検知することです。
Googleはここ数年、中国のルート認証局であるCNNICやSymantecなど、不正行為を理由に複数の認証局を処罰してきました。CNNICとSymantecの両機関が不適切なウェブサイトに証明書を発行していたことが判明したことを受けて、Googleは証明書の透明性(Certificate Transparency)の導入をより積極的に進めているようです。
GoogleはChromeのルートストアからCNNICを追放し、ルート証明書の再登録を希望するなら証明書の透明性(Certificate Transparency)監視システムを導入するようCNNICに要求しました。また、Googleはシマンテックに対し、内部監査の不備が判明したことを受け、第三者による監査を受けるよう要求し、2016年6月までにすべての証明書に証明書の透明性(Certificate Transparency)を導入するよう求めました。
最近では、WoSign認証局と、これまで公表されていなかった子会社StartComも不正行為を行いました。WoSignは、2016年1月1日のSHA-1証明書発行期限を回避するため、新しいSHA-1証明書の発行日を遡らせました。
GoogleはWoSignとStartComに対してまだ具体的な措置を講じていません。これはおそらく、MozillaがWoSignとStartComの新規証明書を禁止する計画のプレビューをいち早く公開したためでしょう。MozillaはすでにWoSignに要件を遵守させていたため、GoogleはWoSign自体を禁止する必要はないと判断したのかもしれません。
しかし、WoSign事件は、Googleがすべての認証局に対し、証明書の透明性(Certificate Transparency)システムへの完全な準拠を求める期限を設定するきっかけにもなった可能性があります。GoogleはすでにWoSignとStartComに証明書の透明性(Certificate Transparency)の導入を義務付けており、これらの機関のログはChromeバージョン54で認識されるはずです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Googleは、一部の認証局が期限に問題を抱えている可能性があることを認識しており、期限が迫っているように見える場合もあるため、認証局とサイト運営者に対し、期限前にIETFのPublic Notary Transparency WG(TRANS)に懸念事項を提示し、協議するよう求めています。また、Googleはルートストア内の認証局とも連携し、移行に向けた準備を整えていきます。
WoSignの不正行為が発覚した際、Mozillaは直ちにWoSignとStartComに対して講じる予定の措置のリストを発表しました。Mozillaは現在、WoSignに対して講じる予定の措置の全容を公表しており、以下の措置が含まれています。
1. Mozillaは、10月21日以降、影響を受けるルート証明書にチェーンされているすべての新しいWoSign/StartCom証明書を信頼しなくなります。既存の証明書は、それらに依存する多くのウェブサイトに支障をきたさないよう、ステータスを維持します。
WoSignの証明書に新たな証明書のバックデートが発見された場合、Mozillaは影響を受けるルート証明書を永久に信頼解除し、失効させます。クロス証明書も同様にMozillaによって管理されるため、WoSignはルート証明書を別のCAでクロス署名するだけでMozillaの要件を回避することはできません。影響を受けるルート証明書のリストは次のとおりです。
CN=CA 沃通根证书、OU=null、O=WoSign CA Limited、C=CNCN=Certification Authority of WoSign、OU=null、O=WoSign CA Limited、C=CNCN=Certification Authority of WoSign G2、OU=null、O=WoSign CA Limited、C=CNCN=CA WoSign ECC Root、OU=null、O=WoSign CA Limited、C=CNCN=StartCom Certification Authority、OU=Secure Digital Certificate Signing、O=StartCom Ltd.、C=ILCN=StartCom Certification Authority G2、OU=null、O=StartCom Ltd.、C=IL
2.日付が古い SHA-1 証明書は、Firefox の OneCRL (ブラウザーが拒否して安全でないと宣言する失効した証明書のリスト) に追加されます。
3. Mozillaは、アーンスト・アンド・ヤング香港による監査を今後受理しません。同社は最新の投稿で理由を明らかにしていませんが、監査機関がWoSignに合格点を与えたのが、本来合格点を与えるべきではなかったためである可能性があります。これは他の監査機関にとっても警告となる可能性があり、各社は今後、自社の監査をより真剣に受け止めざるを得なくなるでしょう。
4. Mozillaは、2017年3月以降、影響を受けるルート証明書をストアから削除します。それまでの間、MozillaはWoSignと協力し、より信頼性が高く、証明書の透明性(Certificate Transparency)に基づいた新しいルート証明書への移行を進めます。ただし、MozillaはWoSignの新しいルート証明書に何らかの疑わしい点が見つかった場合、その証明書を受け入れない権利を依然として留保しているようです。
5. Mozilla は、必要と判断した場合、WoSign および StartCom に対してさらなる措置を講じる権利も留保します。
より信頼できるCAのための証明書の透明性
これまで不正行為が発覚した認証局はごくわずかですが、数千ある既存の認証局のうち、さらに多くの認証局が同じ行為を行っている可能性があります。認証局システムは、すべての認証局の信頼性を保証しなければならないため、セキュリティ面ではかなり脆弱です。証明書の透明性(Certificate Transparency)は、すべての証明書を常時かつ永続的に監視することで、証明書に関する最大の問題を解決することを目指しています。
これを、MozillaやGoogleが不正行為や不正行為を行う認証局に対して行っているような、少なくとも中程度に積極的な対策と組み合わせることで、認証局システムのセキュリティが大幅に向上する可能性があります。ただし、認証局が証明書の透明性(Certificate Transparency)に準拠するようになってから1~2年後には、この対策がどれほど効果的かが明らかになるでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
