グーグルの開発チーム、シマンテック発行の証明書に激しい不信感

シェアする

米グーグルは2017年3月24日、米シマンテックが発行するサーバー証明書(TLS/SSL証明書)には問題が多いとして、有効期間の短縮やEV SSL証明書のEVステータス無効化などを提案しました。

これに対してシマンテックでは、公式ブログで反論しています。

シマンテック発行の証明書に関する投稿

米グーグルの開発チームが同社のオンラインフォーラムに投稿した内容によると、同チームは1月19日以降、シマンテックが発行した証明書の問題点について調査してきたという。

その調査中、同チームがシマンテックに問い合わせるたびに、不適切に発行された証明書の件数が増えていったとする。当初は127件だったのが、3万件以上にまで増加。しかも、これらの証明書は数年間にわたって発行されていたという。

これが発覚した理由の一つとして、Certificate Transparency(証明書の透明性)を検証する証跡の機能が昨年より本格的に運用されはじめた事が挙げられます。

Certificate Transparencyとは

Certificate Transparencyは、不正な証明書は発行されていないか証明書が発行された証跡を第三者が確認可能なサーバへ監査ログとして登録を行なうものです。

Google ChromeブラウザではCertificate Transparencyの機能をいち早く導入し、監査ログへ記録されていない証明書は、ウェブサイトへアクセスした際に警告が表示されるようにしました。

ブラウザのシェアは、Google Chromeブラウザが圧倒的なシェアを保有している為、証明書を発行する認証局は、Certificate Transparencyの対応をせざる得ない状況だったことは明らかです。

Webブラウザシェアランキング

以降、発行された証明書は、全て監査ログに記録される為、Googleはこの監査ログに不正な証明書が発行されていないか調査を行った結果、3万件以上の証明書が不正に発行されていた事が明らかとなった次第です。

不正な証明書の中には、テスト等の目的によりGoogleの許可なしに「google.com」などの証明書を不正に発行していたといいます

Google開発チームの提案

Symantecは過去にも証明書の発行に不手際があったことから、この数年のSymantecの証明書発行ポリシーや慣行を信用することはもはやできなくなった」としています。

この判断に基づき、信頼を取り戻すための措置として、Symantec傘下のCAが発行した証明書のChromeブラウザでの扱いについて、次のような措置を提案されました。

  • 新規の証明書はバージョン59以降のChromeで有効期間を段階的に縮小し、Chrome 59では33カ月(1023日)、Chrome 64では9カ月(279日)にまで短縮
  • 現在信頼されている証明書は再検証を行って入れ替えることをSymantecに要求
  • コミュニティーがSymantecのポリシーと慣行に対する信頼を回復するまで、Symantec発行の証明書のExtended Validation(EV)認定を取り消す。これにより、Webサイトのアドレスバーに表示されていたサイト運営者の組織名などは表示されなくなる。1年以上たった後にSymantecから要請があれば、再度の認定を検討する。

Google開発チームによると、Symantec発行の証明書は2015年1月現在で、有効な証明書の30%以上を占める。Mozilla Firefoxの統計では42%という数字もあると認識しております。

このため直ちに失効させれば重大な互換性リスクが生じると判断し、そうした互換性リスクとセキュリティリスクのバランスを取って、Symantecが発行した全証明書を段階的に失効させて、再度の検証を行った新しい証明書に入れ替えさせることを提案したとGoogleは説明しています。

Google開発チームが出した提案は公式ではまだ公開されていない為、決定事項ではありません。