グーグル、シマンテックが発行したTLS証明書に不信感

Chris Duckett (ZDNet.com) 翻訳校正: 湯本牧子 吉武稔夫 (ガリレオ)2017年03月27日 12時00分
  • このエントリーをはてなブックマークに追加

 Googleの「Chrome」チームは、Symantecが発行しているTransport Layer Security(TLS)証明書に対する信頼度を弱めることを提案した。この措置は段階的に行い、2018年初めには、Symantecとその傘下の認証局が発行する証明書のうち、「Google Chrome 64」で信頼されるのは有効期限が279日以内の証明書のみにするというものだ。

 GoogleのエンジニアであるRyan Sleevi氏は、「Blink」開発チームのメーリングリストへの投稿の中で、Symantecによる「数々の不具合」を受けて、Googleはユーザーが重大なリスクに直面すると考えていると述べた。

 Sleevi氏は次のように指摘している。「この調査を通じて、『Google Chrome』チームのメンバーが問い合わせるたびに、Symantecが説明する不正発行の規模は大きくなっていった。当初報告されたのは127件の証明書だったが、それが少なくとも3万件にまで増えている。これらの証明書は数年に及ぶ期間にわたって発行されていた」

 「Symantecは少なくとも4つの認証局に対し、証明書が発行できるような形で同社のインフラへのアクセスを許可したが、求められるほど十分にこうした権限を監督せず、これらの組織が適切な注意義務を怠っていた証拠を示されると、そうした情報をタイムリーに開示することも、同社に報告された問題の重大性を認識することもなかった」(Sleevi氏)

 信頼度を弱める措置と併せて、Sleevi氏はSymantecの「Extended Validation(EV)」ステータスを少なくとも1年にわたって無効にすることを提案し、Symantecがすでに発行している有効な証明書をすべて再発行するよう求めた。

 Sleevi氏は、Symantecが提供している証明書は全体の30%を超えるため、直ちに全面禁止してもうまくいかず、したがって段階的に信頼度を弱める必要があると指摘した。

 Sleevi氏によると、「Thawte、Verisign、Equifaxなど、特に広く支持されている第1認証局(CA)のいくつかをSymantecが買収したため、同社が発行する証明書では互換性のリスクが特に高い」という。

 「そうしたCAへの信頼を無効にすると、新旧両方のデバイスに対してセキュアな接続を提供するのがさらに難しくなる。サイト運営者の利用するCAがこれら両方のデバイスで認証されている必要があるからだ」(Sleevi氏)

 Sleevi氏は、GoogleがSymantecに対して一方的な措置を取ってこなかったのは、CAを信頼しないブラウザが1つだけならばユーザーはそれをブラウザの問題と見るからだと述べた。

 「われわれの願いは、この提案がセキュリティおよび互換性のリスクと、サイト運営者、ブラウザ、ユーザーのニーズとの適切なバランスを取るものとして見られることであり、われわれはあらゆるフィードバックを歓迎する」(Sleevi氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加