Googleは2017年までに透明性の高い証明書を取得することを条件とすることを発表

GoogleのソフトウェアエンジニアRyan Sleevi氏は先週、ワシントン州レドモンドで開催されたCA / Browser Forumと共同でこの発表を行った。

この動きは、認証局システムの構造上の欠陥を利用しているハッカーが侵害され、悪用されるドメイン証明書の数を減らそうとしているという。 これらのセキュリティ上の欠陥により、ハッカーは認証局システムの穴を開拓し、中間者攻撃やウェブサイトのなりすまし攻撃を開始することができました。

証明書の透過性は、Googleがドメイン証明書を監視および監査するために開発したオープンソースのフレームワークです。 このフレームワークは2013年にGoogleによって提案されて以来、インターネットエンジニアリングタスクフォースのオープンスタンダードとなっています。 2017年10月の締め切り後、すべてのウェブサイトで新しい証明書の透明性基準を採用する必要があります。

GlobalSignの製品管理担当副社長のDoug Beattie氏によると、現在のドメイン証明書は最大39ヶ月のライフサイクルを持つため、2020年までに発行されたすべての証明書が記録され、新しいCertificate Transparency(CT)標準に準拠します。

Sleevi氏は、この動きは、信頼できるオンライン・エコシステムを構築する重要なステップであると述べた。 「CTを採用しているCAや、場合によってはそれを必要とするChromeによって行われた投資は、より安全で信頼できるインターネットを提供するうえで、すでに大きな恩恵を被っています。 証明書の透明性を使用することにより、ブラウザ、サイト所有者、依拠当事者が誤った発行を検出して対応する方法が大きく変わりました。重要なのは、CAがコミュニティの期待やブラウザに対応しなくなった プログラム “、Sleeviは、オンラインで2017年を目標とすることを発表しました。

「証明書が不適格であることに対する罰金は、CT証明書が一般的に持つすばらしい緑のバナーをChromeに表示しないことです」とビーティー氏は述べています。 「彼らが1年以内に行うことを計画しているのは、すべての非CT証明書を信頼できないものとしてマークすることです。 これは、人がCTの資格を取得した証明書を取得するための本当の動機づけになるだろう」

実装されると、証明書の透明性はGoogleのChromeブラウザにのみ影響します。 ChromeユーザーがCT証明書を使用していないウェブサイトにアクセスしたとき、「信頼されていない」アラートは、ドメインが既知の登録済みの所有者であると確認できないことをユーザーに警告します。

EnTrustの証明書サービス担当ディレクター、ブルース・モートン(Bruce Morton)氏は、「これは、Firefox、Safari、またはEdgeブラウザに何らかのタイプのCT検証を実装しない限り、影響を与えません。 しかし、Chromeの市場シェアが60%になると、ほとんどのモバイルとデスクトップのブラウザセッションに影響が出るだろう、と彼は言った。

専門家は、ウェブサイトに発行された証明書に関する規則を厳格にすることで、Googleは証明書を発行する相手について怠惰な認証局の数を減らすことを望んでいると語る。 過去に、いくつかの認証局が間違ったWebサイトに証明書を発行し、犯罪者がより広い中間者やウェブサイトのなりすまし攻撃の一環としてドメイン証明書を偽装する機会を作り出しました。

この動きは、ハッカーが容易に虐待する可能性がある既存のフレームワークを歓迎して改善されたとモートン氏は指摘している。 それにもかかわらず、1つの一般公開されているリポジトリ内に外部ドメイン名と内部ドメイン名をすべて登録することについては、躊躇している人もいます。

「CTロギングを行う際の大きな問題の1つであり、ドメイン名の情報を社内外、特に企業内に公開することです」とモートン氏は述べています。 「これらの企業の多くは、この情報を非公開にすることを前提としています。

Sleeviは、GoogleがCT認証プログラムに関する懸念を抱いている証明機関の参加者に、IETFとCA / Browser Forumが対応できるように、今後3カ月以内にできるだけ早急に苦情を早急に提起するよう奨励していると述べた。