Google は、2 つの認証局の不正行為が発覚したことを受けて、Chrome と Android から WoSign と StartCom の証明書への信頼をすべて削除したと発表しました。
約 1 年前、Mozilla は WoSign と呼ばれる中国の認証局 (CA) に、SHA-1 証明書の配布に関するブラウザー ベンダーによる以前の制限を回避するなど、いくつかの技術的および管理上の失敗があったことを発見しました。
ブラウザベンダーは以前、2016 年 1 月以降に発行された SHA-1 証明書を受け入れないことに同意していました。しかし、WoSign は証明書の日付を遡及することで、ブラウザで引き続きサポートされる SHA-1 証明書を (レガシー上の理由から) 発行し続けることができました。
Mozilla はまた、WoSign が自社の CA ポリシーに違反して、より小規模な CA である StartCom を秘密裏に買収していたことも発見しました。
WoSignは当初、両方の申し立てを否定していましたが、Mozillaをはじめとする企業が、申し立てが事実であることを示す十分な証拠を提示しました。WoSignによる欺瞞の度合いが高かったため、MozillaはWoSignとStartComの証明書を段階的に削除する計画を立てました。AppleとGoogleも同様の計画に追随しました。
MozillaはFirefox 51でこれらの証明書の段階的な廃止を開始し、GoogleもChromeバージョン56(どちらも昨年秋にリリース)から同様の措置を開始しました。Googleは現在、ブラウザからWoSignおよびStartCom証明書のサポートを完全に廃止する準備が整っているようです。
Googleは当初、WoSign/StartCom証明書を使用する上位100万ウェブサイトをホワイトリストに登録していましたが、Chromeの複数リリースを通じてホワイトリストの長さを徐々に短縮してきました。バージョン61(現在はバージョン59)以降、GoogleはChromeからWoSignおよびStartCom証明書のサポートを完全に削除します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
つまり、Chrome 61のリリース時点でこれらの証明書を使用しているウェブサイトは、ブラウザ上で破損したように表示され、該当のChromeバージョン(およびそれ以降のすべてのバージョン)のユーザーに対しては読み込まれなくなります。Googleは、WoSignおよびStartComの証明書をまだ使用しているサイトに対し、多くのユーザーへのサービス中断のリスクを回避するため、直ちに証明書を交換することを推奨しています。
優良ブラウザベンダーはもういない
過去数年間、Googleは、たとえ規模の大小を問わず、一部の認証局の不正行為があったとしても、ユーザーのセキュリティを危険にさらすつもりはないことを示してきました。Googleは、WoSignと、最大手認証局の一つであるSymantecの両社に対し、証明書の適切な検証と規則遵守を確実に行うよう、厳しい措置を講じてきました。このことが、Symantecが認証局事業の売却を検討するきっかけとなった可能性もあります。
CAルールは重要です。なぜなら、それがなければHTTPSセキュリティエコシステム全体が崩壊する可能性があるからです。ユーザーがHTTPS接続の安全性を信頼できなくなった場合、インターネット上で特定の取引や通信を行わなくなる可能性があります。あるいは、代替の暗号化通信プロトコルに切り替える可能性もありますが、これには独自の利点と妥協点が伴う可能性があります。
GoogleやMozillaといった大手ブラウザベンダーが認証局(CA)を処罰するという決定は、決して容易なものではなかったに違いありません。証明書の破損により何千ものウェブサイトのユーザーがアクセスできなくなった場合、ブラウザから認証局(CA)を締め出すことは、簡単にPR合戦に発展する可能性があります。
最終的には、証明書のセキュリティについて自ら学び、ユーザーのサイト接続が保護されるようにするのは、サイト運営者の責任です。これには、ルールに従わない認証局の証明書を使用しないこと、必要に応じて証明書を交換することも含まれます。
Googleは、証明書の透明性(Certificate Transparency)証明書ログおよび監視システムのサポートを推進しており(近々必須化)、これにより、CAが問題のある証明書を発行しているかどうかの特定が大幅に容易になります。また、CAが自らのシステムを適切に監査し、すべてが適切に機能し、悪意のある人物(ハッカーや悪意のある従業員など)がシステムを悪用して偽造証明書を発行していないことを確認するよう促すことになります。
