Digicert 社は、7 月 11 日土曜日に、適切な監査を受けなかった仲介業者が発行した数万件の暗号化証明書を取り消す予定であると発表しました。
証明書業界が発表した通知によると、複数の中間認証局(ICA)が、DigiCertのWebTrust監査の対象となっていないにもかかわらず、顧客にEV証明書を発行していたことが判明しました。これはEV証明書の規則に違反しています。DigiCertは、この問題に対処するため、問題のICA(CertCentral、Symantec、Thawte、GeoTrustなど)が発行したすべてのEV証明書を失効させると発表しました。
「この問題を解決するには、発行を新しいICAに移行し、影響を受けるICAで発行されたすべての証明書を取り消す必要があります」とデジサートは顧客への電子メールで伝えた。
セキュリティ上の脅威はありませんが、EVガイドラインでは、影響を受けるICAによって署名されたEV証明書を2020年7月11日午後12時(MDT、7月11日18:00 UTC)までに失効させることが義務付けられています。
削除対象となる証明書の数は5万件程度と認識しています。ご存じない方のために説明すると、コンピューターやその他のデバイスは通常、オペレーティングシステムによってDigicertが発行する証明書を信頼するように指示されます。Digicertは証明書の発行をすべて自社で処理するのではなく、GeoTrustなどの中間機関に代理で証明書を発行させています。そのため、例えばGeoTrustが発行したHTTPS証明書で保護されたウェブサイトにアクセスすると、ブラウザは証明書のチェーンをDigicertまで遡り、接続が安全であると信頼することができます。ところが今、官僚的なミスにより、数千もの証明書が再発行を余儀なくされているのです。
ちなみに、EV証明書(Extended Validation証明書とも呼ばれる)は、証明書販売業界のゴールドスタンダードとされています。一部のブラウザのアドレスバーでは、南京錠アイコンの横に証明書所有者の正式名称が表示されます。これは、銀行のウェブサイトにアクセスした際に「My Super Bank Corp」と表示されれば、本当に本物だと安心できるようにするためです。EV証明書には批判的な意見もあります。
「結果は奇妙な状況だ」
月曜日、デジサートの製品セキュリティおよびコンプライアンス担当副社長ブレンダ・ベルナル氏は、MozillaのBugzillaシステムを通じて、2013年8月から2018年2月の間に作成された中間証明機関が監査報告書から誤って除外されていたため、今週の大量失効が必要になったと説明した。
「これまで、ICAはEV発行能力の有無ではなく、計画されている使用状況に基づいて監査報告書に記載されていました。つまり、すべてのTLS発行証明書が監査報告書に記載されていたわけではありません。これは、監査サンプル用のEVデータを取得する方法とは異なります。監査サンプルは、チェーンに関係なく、発行されたすべての証明書から取得されます」とベルナル氏は述べています。
その結果、すべての証明書がEV要件に照らしてテストされているにもかかわらず、監査報告書に特定のICAが記載されていないという奇妙な状況が発生しました。そのため、すべてのエンドエンティティEV証明書を失効させ、新しいチェーンに移行します。
2月にAppleが長期HTTPS証明書を厳しく取り締まると警告したのを覚えていますか?ついに実現しました。ChromeとFirefoxもこれに追随する準備が整っています。
同様のもの
DigiCertは7月2日にこの問題を初めて認識し、業界規定の5日間の通知期間を経て月曜日にEV証明書を廃棄することを決定しました。新たな監査を実施する計画が進行中で、来月実施される見込みです。
DigiCert 社は問題解決に迅速に対応したことで称賛されているが、影響を受けた ICA の顧客の中には、証明書を交換しなければならないという通知がわずか 5 日前に与えられたことに不満を抱いている者もいる。
「大手ISPで働いているのですが、影響を受けたすべてのシステムを追跡し、新しい証明書をインストールする作業で、業務は組織的な混乱に陥っています」と、失効の影響を受け、匿名を条件に話してくれたあるRegの読者は語った。「多くの第三者とやり取りをしており、彼らの協力と調整が必要なため、これは簡単なことではありません。」
他の顧客も、数万件の証明書の大量失効までの短期間に同様の不満を表明した。
「5日間で5万件以上の証明書を失効させるのは、深刻なセキュリティ侵害が検出された場合にのみ正当化される、過酷な措置だ」とBugzillaユーザーのHank Nussbacher氏は述べている。「証明書の失効までにどれくらいの期間を設けるかは、ある程度の常識に基づいて判断する必要がある。州内の軽微な誤植や監査報告書の誤りについては、証明書の失効まで2~4週間の猶予を与えるべきだ。」
しかし、他の人が指摘しているように、失効を5日間待つというのはDigicertの判断ではありません。むしろ、MozillaとCABフォーラムの規則で求められているのです。
Digicert は本稿の印刷時点ではコメントを控えている。®
