Certificate Transparency(証明書の透明性)

2016年5月20日よりChromeにて警告やエラーメッセージが出る恐れがあるお客様に対して、それを防ぐためにホワイトリスト化という手法についてシマンテックよりご連絡差し上げています。

[FAQ]CTの利用に関するホワイトリスト登録について:
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO3678

Certificate Transparency(以下「CT」)とは、SSL/TLSの信頼性を高めるための新たな技術で、Google社により提唱されました。現在はRFC6962としてRFC化され、証明書の誤発行を防ぐ新たな技術として注目されています。

CTは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。主に、ウェブサイトの運営者やドメイン名の管理者が、その監査ログサーバ(以下「ログ))を確認することで、自分のドメインに対して不正な証明書や、ポリシー外の認証局からの証明書が発行されていないかを検証することができます。それにより利用者が不正に発行された証明書を信頼することを防止します。

CTはあくまで証明書の信頼性を高めるための追加の仕組みであり、これまでの証明書の検証の仕組みが無くなるわけではありません。

Certificate Transparencyの基本的な仕組み
Certificate Transparencyの基本的な仕組み

ログに証明書を提供すると、ログからはSigned Certificate Timestamp(SCT)と呼ばれるデータが返されます。SCTは、ログが特定の時間内(「Maximum Merge Delay (MMD)」と呼ばれます)に証明書データが格納されたことを保証するタイムスタンプ情報です。ウェブサーバなどのSSL/TLSサーバはログから取得したSCTを、証明書と一緒にブラウザなどのSSL/TLSクライアントに提示しなければいけません。SSL/TLSクライアントは、証明書とSCTを使って、ログの中にその証明書のデータが登録されているかどうかを確認することができます。

Google Chromeには既にCTの検証機能が導入されており、SSLサーバ証明書がCTに準拠している(=Proofが登録されている)かどうかを表示できます。ログにProofが登録されていない証明書の情報を表示すると、「公開監査記録がありません」と表示されます。Proofが登録されている証明書であれば、登録されている情報を見ることができます。

Proofが登録されている証明書

今後のGoogle ChromeにおけるCT対応のロードマップについてGoogle社は以下のようにアナウンスしています*。

  • 2015年1月を超える有効期限を持つ(発行済みも含めた)すべてのEV SSL証明書の情報は、ホワイトリストとして少なくとも1つのログに登録される必要がある

  • Google社は2015年1月1日に、発行済みでSCTが組み込まれていないEV SSL証明書のホワイトリストを作成する

  • 2015年2月1日以降、デスクトップ版Chromeは、上記ホワイトリストに登録されておらず、かつCTに適応していないEV SSL証明書については、EV SSL証明書固有の表示をしない(グリーンバーや組織名が表示されない)

    追記: 2015年3月30日時点、以下の条件にてGoogle Chrome での表示はEV SSL証明書固有のグリーンバーの表示(組織名の表示)はなく、通常のSSLサーバ証明書(非EV SSL証明書)と同様になることを確認しています。他のブラウザではEV SSL証明書固有の表示となっています。

    条件1: 2015年1月1日以降に発行
    条件2: CTに非対応
    条件3: Google Chrome 41 以降

    Google ChromeでのEV SSL証明書グリーンバー表示例
    Google ChromeでのEV SSL証明書グリーンバー表示例
    Google Chromeでの通常の SSL証明書の表示例
    Google Chromeでの通常の SSL証明書の表示例

このため、EV SSL証明書のグリーンバーや組織名の表示を継続するための対策が必要になります。

なお、シマンテック企業認証型(OV)、ドメイン認証型(DV)証明書を含む全てのジオトラストの証明書について、ログサーバに登録がないサーバ証明書については、Chrome 上でセキュリティ警告もしくは信頼性の警告を表示することをアナウンスしております。

ジオトラストではCTに準拠するために、SSLサーバ証明書の申請時に、CTに準拠した証明書を発行する(=Proofを登録する)ための機能を、2014年より順次(提供しております。
※ : EV SSL証明書は2014年12月、企業認証型(OV)ならびにドメイン認証型(DV)証明書へは2016年3月より提供

* http://www.certificate-transparency.org/ev-ct-plan (英文)

Q: CTに対応しなかったらどうなるのでしょうか?
A: CT対応しなかった場合、Google ChromeでEV SSL証明書では2015年2月以降グリーンバーが表示されなくなり、OV SSLならびにDV SSL証明書では2016年6月以降警告が表示されます。
Q: ログにはどのような情報が掲載されるのでしょうか?
A: CT対応が開始されると、お客様の証明書の情報がログに掲載されます。これらの情報は証明書の詳細情報に記載されているものであり、公開されているウェブサーバーでしたら、外部から誰でも確認できるものです。
Q: CTについてもっと知るには?
A: 以下のサイトで詳細な仕組みが公開されています。
http://www.certificate-transparency.org/ (英文)