• 会員限定
  • 2017/04/11 掲載

グーグルがシマンテックのSSL証明書失効を提案した理由、村八分か自浄作用か

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
3月24日、グーグルのChromeチームがシマンテックが発行するSSL証明書を段階的に無効にしていく提案を行った。実施されればモバイルでもデスクトップでも50%を越えるシェアを持つChrome上で、シマンテック傘下の認証局が発行する証明書(EV SSLも含む)ではエラーや警告が表示されることになる。シマンテックの証明書は全世界で30%以上を占めるともいわれており、大きな問題とされた。グーグルのシマンテックに対するけん制にはどのような背景があるのだろうか。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
シマンテックの証明書が無効になる? グーグル強行策の真意
(© tashatuvango – Fotolia)


シマンテックの証明書を失効させようとしたグーグル

関連記事
 3月24日、グーグルのChromeチームでブラウザのレンダリングエンジン(Blink)を開発しているエンジニアから、Chromeコミュニティに対して、ある「提案」が発信された。

 その提案とは、Chromeブラウザでシマンテックが発行した証明書を段階的に失効にするというものだ。

 なぜChromeチームはこの提案をしたのか。グーグルは、シマンテックが発行する127の証明書について問題を発見しており、シマンテックと対応を協議していたにもかかわらず改善が進んでいなかったこと、さらに、信頼性の低い証明書が3万件にも達する可能性があったことなどがその理由だ。

 シマンテックはベリサインなど証明書発行の老舗ベンダーを傘下にしているほか、Thawte、Equifaxなどのいくつかの認証局を持っており、証明書のシェアはグローバルで30%とも40%とも言われている大手のサーバー証明書ベンダーである。

 とはいえ、いきなりすべての証明書を無効にするのは影響が大きすぎるため、今回のグーグルの提案ではシマンテックにChromeのバージョンごとに9~33か月の猶予期間を与え、期限を過ぎたブラウザバージョンから段階的に無効扱いにしていくとされた。

偽造証明書の被害を受けるグーグルの苦悩

 しかし、この提案を受けて黙っていられないのがシマンテックである。同社はこの発表翌日、グーグルに対して反論を行っている。

 追加の発表を含めたシマンテックの言い分をまとめると、「問題のある証明書が3万というのは事実誤認。あくまで127の証明書のみの問題であり、我々が発行する証明書は依然として安全である。そして、これはあくまで提案であって実施が決定したものではない。現在、グーグルとはこの問題について協議を続けている。ユーザーは冷静になってほしい」とのことだ。

 グーグルが認証局に対してアピールを行ったのはこれが初めてではない。2015年、CT(Certificate Transparency:証明の透明性)というプロジェクトを立ち上げ、SSL証明書の監査とログを行うオープンフレームワークを作り、すべての認証局に対して利用を呼び掛けた。

 CTは2013年にRFC 6962-bisとして、インターネットの標準化団体「IETF(Internet Engineering Task Force)」に認められた標準にもなっている。

 このとき、グーグルはChromeにおいてCTに対応していない証明書に警告メッセージを出すという措置を取った。これによってシマンテックを含む多くの認証局は、CT対応に追われたり、ユーザー向けにホワイトリストによる回避策をアナウンスしたりしていた。

 巨大プラットフォーマ―であるグーグルのドメイン(google.com)を偽証できる証明書は、攻撃者にとっては非常に価値が高い。実際に、これまでも認証局がハッキングされ、偽のgoogle.comの証明書が発行される事件が起きている。このような脅威に晒されているグーグルとしては、認証局が信頼性の低い証明書を発行しているとなれば黙ってはいられないのである。

シマンテックの証明書が失効した場合の影響範囲は?

 グーグルがもし、Chromeチームからの提案を実行に移し、シマンテックの証明書を無効にしていった場合、どのような影響が考えられるだろうか。

 シマンテック傘下の認証局が発行している証明書のシェアは、全体の30%程度と言われており、グーグルがシマンテックの証明書を無効にすればHTTPSサイトのおよそ3割がChromeでエラー扱いとなる。

 これによって企業は、利用者からの質問や問い合わせに対応したり、証明書の取りなおしたりといった作業を強いられるだろう。証明書は長期にわたって使用されることが多いため、企業によっては認証局を1か所に集約してコストや手続きを簡略化する傾向がある。

 おそらく、対応作業はシマンテック系の証明書を使っている企業に集中する。もちろん業界大手のひとつであるため、メジャーなサービスへの影響が避けられないだろう。

 ただし、あらためて強調しておくが、グーグルはシマンテック証明書の無効化を実施するとは言っていない。あくまで提案であり、目的は特定の証明書を無効にすることではなく、乗っ取りや偽造リスクのある信頼性の低い(とグーグルが判断した)証明書をネットから排除することだ。

 騒動が始まってから1か月ほど経過するが、いまのところこれより動きがあった情報は得られていない。おそらくこの問題はグーグルとシマンテックの間で解決がなされるものと思われる。グーグルとしても、公開で提案を行うことでシマンテックの対応を促すことが狙いだった可能性が高い。

【次ページ】「グーグル八分」なのか「自浄作用」なのか

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます