> > Chrome 53 から Certificate Transparency の何が変わる?

RSSフィード

Chrome 53 から Certificate Transparency の何が変わる?

Chrome の仕様変更は、サイバートラスト・DigiCert の SSL/TLS サーバー証明書には影響はありません

他の認証事業者より、Certificate Transparency (以降 CT) に非対応、またはホワイトリストに登録されていないサーバー証明書は、Chrome 53 から警告またはエラーが出るとの案内が行われたことを受け、 「サイバートラストの証明書はどうですか?」というお問合せを頂くことがあります。

2016 年 9 月にリリースが予定されている Chrome 53 での仕様変更は、他の認証事業者のサーバー証明書に対してのみ適用されるものです。 ですから、サイバートラストの SureServer 並びに DigiCert の証明書には影響がありません。

CT とは、どのようなドメインや組織に対して認証事業者が証明書を発行したのか、誰でも確認できる仕組みです。 CT を使えば、ドメイン所有者や企業は、自分が申し込んだ覚えのない、あるいは許可したことのない証明書がないか、確認することができます。

誰かが勝手に証明書を得ているなら、それはフィッシングサイトのような不正な目的に使われるためかもしれません。CT は、このようなサイバー脅威の検知や防止に役立ちます。

また、認証事業者を監視する観点からも CT は重要です。2011 年、オランダの認証事業者である DigiNotar がハッキングされ、不正な証明書が大量に発行されるという事件が発生しました。 不正な証明書のなかには Google の情報が入ったものも含まれており、その証明書は、フィッシングに使用されました。

この事件をきっかけに、Google では CT が考案されました。

CT により、認証事業者が発行した証明書を第三者が確認できる意味は大きいです。なぜなら、不正な証明書を発行したことを認証事業者自らが発見するとは限りません。 DigiNotar の事例のように、ハッキングを受けていることを自らが直ちに検知できるとは限りません。 また、認証事業者内部の不正により証明書が発行された場合においても、第三者により監視されることで、それらの証明書が発見される可能性は高まるものと考えられます。

ですから、インターネット全体においてサーバー証明書の安全性を高めるという点においては、全ての証明書が CT に対応することが望まれます。

Chrome では、認証レベルが最も高い EV 証明書での CT 対応を実質強制しています。 実質とは、非対応でも暗号化通信は行えるのですが、アドレスバーが本来の緑色になりません。 最も安全を示す緑のステータスが EV の価値ですから、CT 非対応の EV というのは、Chrome では EV でないようなものなのです。

Chrome 53 では、Google が特定した他の認証事業者が発行する証明書については、OV や DV といった認証レベルに関係なく、CT 対応を要求する仕様となります。 また、冒頭に説明させて頂いた通り、サイバートラストには無関係な仕様です。

しかしながら、サイバートラストの発行する証明書は、OV も EV も全て CT に対応しています。 国内の認証事業者として真っ先に、商品ラインナップ全てに CT 対応しました。 これは、先に申し上げた「インターネット全体においてサーバー証明書の安全性を高める」という考えがあるためです。

「CT 対応では実績のあるサイバートラスト」として、覚えて頂けると幸いです。また、これを機に当社証明書へのお乗り換えをご検討いただけたらと思います。

関連リンク

Certificate Transparency(CT)について
他社から乗換えを検討中のお客様へ
DigiCert SSL/TLS 証明書サイト