> > Google、Certificate Transparency(CT)の適用範囲をすべての証明書タイプに拡大へ

RSSフィード

Google、Certificate Transparency(CT)の適用範囲をすべての証明書タイプに拡大へ

2017 年 10 月に適用開始となるポリシー変更が DigiCert の証明書をご利用のお客様に与える影響は?

Google_CT.jpgGoogle が最近の発表で明らかにしたところによれば、2017 年 10 月以降に発行されるパブリック SSL/TLS 証明書は、すべての種類について、Chrome ブラウザの Certificate Transparency(CT)ポリシーに準拠するものだけが、同ブラウザによって信頼できる証明書とみなされることになります。

Extended Validation(EV)証明書はすでに 2015 年 1 月から Chrome の CT 準拠が必須となっていましたが、今回のポリシー変更によって Domain Validation(DV)証明書および Organization Validation(OV)証明書も CT の適用対象となります。

DigiCert の証明書をご利用のお客様への影響

DigiCertのシステムは Google の新ポリシーに対する準備がすでに整った状態となっていますので、DigiCert の証明書をご利用のお客様はどうぞご安心ください。多くのお客様におかれましては、EV 証明書が CT のログに登録済みとなっているだけでなく、DigiCert による CT 実装のメリットを生かす形で、OV 証明書を使うシステムについてもいつでも実施できる状態にあります。

CT 開発の最先端を行く DigiCert

DigiCert は 2013 年に実施された Google による CT の初期パイロット試験に参加し、2013 年後半には CT への完全対応を済ませ、お客様がオプトインできるようになっています。DigiCert は CT に対する取り組みをさらに推し進め、2015 年 1 月の準拠期限以前にすべての EV 証明書をログに登録し、Google の関連会社以外の団体としては、2015 年 1 月 1 日から CT ログの運用を開始した初めての企業となりました。

Chrome で CT をすべての証明書について必須とするよう、DigiCert は 2 年以上にわたって主張してきました。全証明書を CT 対応とすることで、不正に発行された証明書をいち早く検出できるようになり、SSL/TLS の枠組みをいっそう確かなものにできると信じてきたからです。CTは認証局(CA)による活動の健全性改善を促し、ドメイン所有者の保護の強化につながります。

CT 適用範囲の拡大は業界にとって前進と言えますが、セキュリティコミュニティやドメイン所有者のさまざまな要望に CT が応えるためには、2017 年 10 月の期限までに対処すべき重要事項がまだ残っています。

たとえば、Name Redaction(CT登録情報の一部を非公開とする処置)は私たちにとっても、コミュニティ全体にとっても、以下に挙げる理由から重要な問題です。

セキュリティ ― 企業によっては、DNS をネットワークマップとして利用しています。そういった場合は、Name Redaction を行わないと、必要以上に企業の構造に関する情報を外部に開示してしまうことになりかねません。

妥当性 ― 企業が各種プロジェクトの試験用サイトなどを作る場合、信頼できる証明書を使うのが普通です。このとき、当然ながら、市場における自社の優位を損なうような秘密は開示しないように気を付ける必要があります。

プライバシー ― 証明書には会社や従業員の個人情報が含まれている場合があります。そういった情報を非公開とすることは、重要な保護措置です。

通信ネットワークの信頼性を守るため、インターネットにおけるセキュリティ関連の標準および活動のさらなる改善に向けて、DigiCertは今後も取り組んで参ります。その際、企業秘密の保護に対する組織の正当なニーズと、事業における優位性の維持を考慮することが重要であると考えます。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Google Certificate Transparency (CT) to Expand to All Certificates Types - [2016 年 10 月 28 日投稿]