先週、Googleのセキュリティエンジニアは、MCS Holdingsという中間証明機関(CA)がGoogleのドメインに対して不正なデジタル証明書を発行していた件について投稿しました。MCS Holdingsの中間証明書は、中国の主要なルート証明機関であるCNNICによって発行されていました。Googleは、この偽造証明書もCNNICによるものだと確信しており、Chromeから削除することを決定しました。
不正な認証局の問題
証明機関が安全でない接続やトラフィックの傍受を許可する偽の証明書を発行した場合、ブラウザベンダーは通常、その CA を禁止し、発行された証明書を取り消すことで対応します。
こうしたポリシーが重要なのは、Webのセキュリティモデルが数千ものランダムな認証局と少数のルートCAに依存しているため、かなり脆弱だからです。これらのルートCAは地方自治体と強い結びつきを持っている場合もあり、自治体によっては、その意図が必ずしもWeb上のすべての人にとって有益であるとは限りません。
ブラウザベンダーが、不正なCAがインターネットセキュリティを破ることを許し、たとえそれを摘発した後でも、それが連鎖反応を引き起こし、Webのセキュリティが崩壊する可能性があります。ブラウザベンダーから罰せられないことを承知しているCAが、様々な利益のためにリスクを冒し、証明書を偽造し始める可能性も考えられます。
また、ブラウザが信頼性の低い証明機関を信頼し続けていることに気付く人が増えれば、最終的には HTTPS 接続も信頼しなくなるでしょう (HTTPS 接続は、オンライン バンキングや電子商取引のセキュリティ保護、トラフィック傍受の阻止など、さまざまな目的に役立ちます)。
したがって、他の CA が同じミスを繰り返さないように抑止するために、悪質な CA を禁止することが、現在の Web セキュリティ モデルの範囲内で実行できる最も合理的な方法であると考えられます。
CNNICルートCAの禁止
これは通常予想されることですが、Googleや他のブラウザベンダーがMCS Holdingsだけでなく、中国のルート証明機関であるCNNICまでも禁止するとは、ほとんど予想されていませんでした。しかし、Googleはまさにこれを発表したのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
今後のアップデートで、CNNICルート証明書は失効されます。Googleは当面の間、公開されたホワイトリストを通じて、ChromeでのCNNIC証明書の使用を許可し続けます。その後、Chromeルートストアへの再登録を求める前に、CNNICはGoogleがここ数年提案してきた証明書の透明性(Certificate Transparency)システムを採用する必要があります。
証明書の透明性
Googleは現在、Chromeの証明書ピンニング機能により、自社ドメインに偽造証明書が発行されたことを迅速に特定できますが、このソリューションは拡張性が低く、通常はGoogle自身のウェブサイトでしか機能しません。そのため、Googleは「SSL証明書をほぼリアルタイムで監視および監査するためのオープンフレームワーク」を提供するCertificate Transparencyプロジェクトを立ち上げました。
証明書の透明性の主な目標は次のとおりです。
ドメインの所有者に証明書が表示されない限り、CA がドメインの SSL 証明書を発行することを不可能 (または少なくとも非常に困難) にします。ドメイン所有者または CA が証明書が誤ってまたは悪意を持って発行されたかどうかを判断できるオープンな監査および監視システムを提供します。誤ってまたは悪意を持って発行された証明書によってユーザーが騙されることを (可能な限り) 防止します。
オープンなフレームワークであるため、証明書の透明性(Certificate Transparency)を機能させる基本コンポーネントを誰でも検証できます。このオープンシステムは、特定のサイトに対する証明書が偽造されたかどうかさえ見分けるのが難しい現在のCAモデルに、ある程度の改善をもたらすはずです。
中国のCNNICが反応
Google は、Chrome に再度組み込まれる前に CNNIC が証明書の証明書透明性を実装することにすでに同意したと示唆しているようですが、ルート CA は本日、まったく異なる口調で公式に回答しました。
「1. Googleの決定はCNNICにとって受け入れ難く、理解しがたいものです。CNNICはGoogleに対し、ユーザーの権利と利益を十分に考慮するよう強く求めます。2. CNNICが既に証明書を発行したユーザーについては、その合法的な権利と利益が影響を受けないことを保証します。」
他のブラウザベンダーはまだ反応していない
Chromeは現在、間違いなく最も人気のあるウェブブラウザ(特にモバイル市場シェアを含めると)ですが、ブラウザ市場のシェアは依然として約3分の1に過ぎません。この動きを完全に効果を発揮させるには、Mozilla、Apple、MicrosoftがGoogleに倣い、証明書ルートストアからCNNICを削除する必要があるかもしれません。
現在、Mozillaは少なくともブラウザにおけるCNNICの新規証明書の制限を検討しているようです。しかし、中国のルートCAが証明書の検証に必要な一連の要求に同意しない限り、ルートストアからCNNICを削除する予定はありません。
CNNIC ルートを削除しないが、しきい値の日付以降の notBefore 日付を持つ CNNIC への証明書チェーンを拒否する。CNNIC に現在有効な証明書のリストを提供し、そのリストを公開して、コミュニティが日付が遡った証明書を認識できるようにする。CNNIC が完全な包含のために再申請することを許可するが、いくつかの追加要件を満たす必要がある(このリストで議論される予定)。CNNIC の再申請が不成功に終わった場合、ルート証明書は削除される。
Appleは最近、セキュリティ強化キャンペーンを展開しており、中国ではセキュリティ問題も発生しています。そのため、Googleに追随してもおかしくないでしょう。同時に、Appleは中国でiPhoneの急成長を見込んでいます。AppleがGoogleの方針を支持するのか、それとも中国政府との良好な関係を維持し、販売に悪影響を与えないよう妥協するのか、今後の動向は注目されます。
中国もマイクロソフトに対して必ずしも好意的な対応をしてきたわけではありません。特に最近では、政府が政府機関からWindows 8の使用を禁止すると発表したことが顕著です。しかし、マイクロソフトは中国の検閲や監視要請に比較的長く従ってきた歴史があるため、GoogleがCNNICをInternet Explorer(およびProject Spartan)から排除するという大胆な動きに追随するかどうかは、今回も予測が難しいところです。
セキュリティに関わる問題では、ごくわずかな漏洩がシステム全体を崩壊させる危険性が常に存在します。同様に、一部の主要ブラウザベンダーが、偽の証明書を発行した不正な認証局を処罰することに同意しないことは、危険な前例となる可能性があります。
@tomshardware 、 Facebook 、 Google+でフォローしてください 。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
