AWS Certificate Manager (ACM)のCertificate Transparency (CT)サポートが始まります

ども、大瀧です。
昨日、AWS Security BlogでACMのCertificate Transparency(CT)サポートについての記事が公開されました。

• AWS Certificate Manager (ACM) Support of Certificate Transparency

CT自体の是非については、本記事では触れません。何が起きるのか、どう対処するのかをまとめてみます。

Certificate Transparency(CT)とは

Certificate TransparencyはGoogleが提唱する、TLS証明書発行の証跡を残す仕組みです。CyberTrust社の以下のページが詳しいです。

• Certificate Transparency について｜Cybertrust.ne.jp

CT自体は2015年にEV証明書で義務付けられていたわけですが、2018年4月末よりChromeおよびChromiumでCCADBに登録する全てのCAの全て(DV,CV,EV)のTLS証明書でCTを求めるようになります。

• Certificate Transparency Enforcement in Google Chrome - Google グループ
• Google Makes Certificate Transparency Mandatory On Chrome. -

従って、5月以降はCT非対応のTLS証明書を利用するWebサイトでは何らかの警告が表示されるようになります(どんな警告になるかは現時点で不明です)。CT対応自体は、過去に特定のCAやEV証明書対応でWeb上に情報がいくつかあるので、それらが参考になるでしょう。

ACMのCT対応

AWSが提供するTLS証明書発行サービスであるAWS Certificate Manager(ACM)のCAはAmazonでありCCADBにもきっちり載っているので、今回のCT対応が求められるようになります。上記ブログによると下記スケジュールで対応が進むとあります。

• 2018/03/27 : ACMのAPIないしAWS CLIによるCTログ無効化手順についてAWSからアナウンス & 無効化が可能になる
• 2018/04/24 : ACMでSCT付き証明書の新規発行と再発行が始まる
• 2018/04/30 : Chrome/ChromiumでのCT義務化スタート

SCTの付与自体はCA側の対応なので、ユーザーとして行うべき手続きは特にありません。後述の証明書の再発行に伴う切り替えを気にかけておけば良いでしょう。

考察とまとめ

ポイントになるのは、CTログ無効化の手順ですね。CTによって証明書発行のログを任意のユーザーが引けるようになるため、なんらかの理由から非公開にしたいドメインの証明書ではそのログを無効化する手順が用意されます(現時点では、その手順は不明です)。現在そのようなドメインでACMを利用している場合は4/24までに無効化の手続きを踏む必要があることに注意しましょう。また、詳細な切り替え方法はまだわかりませんが、4/24以降に既存証明書の再発行に伴うTLS証明書の切り替えも運用タスクとして出てきそうです。ACMであれば自動で切り替え、オプトインで手動切り替えとしてくれることを期待しています。