JPドメインを管理している株式会社日本レジストリサービス(JPRS)が発行しているJPRSサーバ証明書にセキュリティーリスクが存在する事が公式ホームページで案内がありました。
SSLサーバ証明書は、申込みする時にCSRを送り手続きが完了すると証明書と中間証明書が発行されます。
証明書は申込時に指定するドメインに対してユニークなものが発行されますが、中間証明書は以下のように共通のものが発行されます。
// シングルタイプの証明書の場合
Security Communication RootCA2
└ JPRS Domain Validation Authority – G3
└ www.example.com
// ワイルドカードタイプの証明書の場合
Security Communication RootCA2
└ JPRS Domain Validation Authority – G3
└ *.yourdomain.com
上記の例のように中間証明書「JPRS Domain Validation Authority – G3」は共通のものを使用しているのが確認できます。
今回のセキュリティーリスクの対象はこの中間証明書であり、2020年7月29日までに発行した証明書はJPRSの案内の対象全てに対し危険な証明書を発行してた事になります。
対策について
このセキュリティーリスクに対する対策は以下二つになります。
証明書を再発行する
JPRSの案内にある通り証明書の再発行が必要になり、再発行には再度ドメインの所有者の確認が必須になります。
中間証明書の差し替えだけで対応できそうな気もしますが、証明書のプロパティには「発行元」と「発行先」の2つが存在します。
「JPRS Domain Validation Authority – G4」の中間証明書のプロパティでは発行先は「Security Communication RootCA2」、発行元は「JPRS Domain Validation Authority – G4」になりますが、証明書本体のプロパティでは発行先が「JPRS Domain Validation Authority – G3」のままになる為、証明書と紐づく中間証明書とのプロパティが一致しない為、差し替えだけでは解決する事ができません。
違う証明書に切り替える
セキュリティーリスクのある証明書を使用しているウェブサイトに、アクセスさせる行為は、その原因に対し責任がなくても犯罪と同様です。
またウェブサイトの運営が企業であればコンプライアンスによる判断を求められますが、危険な証明書を発行した前科のある証明書から違う証明書に乗り換える事がシンプルで確実な方法の一つです。
今後の運用について
不正な証明書の発行は、ここ数年毎年発生しており、このリスクから逃れる方法は本記事を執筆した時点では確認されていません。
この為、万一貴方が使用している証明書が危険だと判明した際、いかに素早い対応ができるかが、この証明書の管理方法がポイントの一つとなります。
証明書は、証明書を発行する認証局の販売サイトやサーバをレンタルしているホスティング会社のサービスで取り扱いがあったりしますが、その全ては、認証局で取り扱いの商品(JPRSであればJPRSの証明書のみ)であったりホスティング会社であれば、ホスティング会社で取り扱いしている証明書と限定され、危険な証明書だと判明した時に対応できる範囲が限定されてします。
対して認証局と直接パートナー契約を結び証明書を取り扱う販売代理店運営のサイトによっては様々な証明書の取り扱いがあります。
更に会員サービスであれば、複数の証明書の管理ができるので再発行や切り替えが必要な証明書の洗い出しを含め素早い対応が期待できます。
以下に参考までに会員登録して証明書の管理ができるサービスを紹介します。
コメント