Googleは自分自身のルート認証局を運用開始

Googleは必然的に独自のルート認証局になり、第三者がGoogleの属性を認証する証明書に頼るのではなく、彼らのサービスに自らデジタル証明書を発行することができるようになります。

この動きは木曜日に発表され、Googleと親会社であるAlphabetのCA(ルート認証局)を運営するGoogle Trust Servicesという新しいエンティティの作成とともに発表されました。

同社は、ルートCAとしてのGoogleの地位を促進するために、GlobalSignのR2とR4から既存のルートCAを取得したと言っている。

「これらのルート証明書によって、我々はすぐに独立した証明書を発行できるようになります」とGoogleのセキュリティとプライバシーのエンジニアリング部門のマネージャー、Ryan Hurstは述べています。

これまでGoogleは、Google製品の第三者から発行されたSSLおよびTLS証明書を使用して、独自の下位CA(GIAG2)として運用してきました。 ハースト氏によると、Googleは今後もそうしていくつもりだ。

「Googleはしばらくの間、自分のインフラストラクチャに移行したいと思っています。 レガシーCAインフラストラクチャを信頼し続けるべき本当の理由はありません。 これは彼らにもう少し独立性を与えます。 ジョンズ・ホプキンス大学の暗号教授Matthew Green教授は、「もちろん、彼らが単独で検証可能な「Google」証明書を発行できることを意味する」と語った。

「Googleのサービスを偽装することを難しくしているChromeのような製品には、すでに多くの保護機能が組み込まれていますが、これは段階的な動きのようです。

Googleは管理しているルート証明書を公開しており、証明書を信頼できるものとして含めるためにGoogleに接続する必要があるソフトウェアやアプリケーションを開発する開発者を期待しています。 ハースト氏によると、サードパーティ運営のルートのもとで従属CAを運用することもできるという。

「このため、Googleのプロパティに接続するためのコードを開発している場合は、信頼性の高いさまざまなルートを組み込むことをお勧めします。

CAの脆弱な状態と証明書管理は、Web上のサイトの可用性に影響を与えるGlobalSign証明書失効エラーや、WoSign / StartComとCNNIC証明書の信頼性の低下(違反)など、多くの重要な事故で顕在化しています業界標準のプラクティスブラウザ、オペレーティングシステム、ネットワーク機器、サーバーに既に存在する証明書を失効させるのは手間のかかる作業です。 Googleが根本的なCAとしての争いに加わり、システム全体がより厳しく監視されている。

「Googleのエンジニアリングは、このようなトップレベルの信頼を実現するための専門知識、成熟度、そして重要なリソースを持っていますが、今後もより厳密な調査が行われることは間違いありません」と、セキュリティ研究者、暗号監査プロジェクト。例えば、証明書の透明性を利用して業界が進めてきた重要な進歩は、両刃の剣です。主要な「ウォッチャー」の1人は、中間の第三者に頼ることなく、最も注目されているものの1つになります。

Googleは、監査と監視が可能な信頼できる証明書の公開ロールである証明書の透明性を先導し、今年後半に義務付けられると昨年10月に発表しました。

「MozillaとEFFのSSL Observatory、Comodoのcrt.shなどのイニシアチブやその他の公共の監視はこれまで以上に重要になるでしょう。 開発者へのアドバイスは、厳格な輸送セキュリティ(HSTS)、現場でのフォワードシークレットプロトコル(AEAD、TLS 1.2、SHA-2以上)で強力な認証された暗号化暗号スイートを使用し、 比較的短期間のTLS証明書(90日対2年または3年)を使用するなど、安全性の高いクッキーを使用することができます。

参照:

Google to Operate its Own Root CA

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*