週末に某 2ch まとめサイトで取り上げられて話題になっていましたが、Google Chrome において、シマンテック - Symantec (旧ベリサイン - Verisign) 発行の SSL 証明書がブロックされるかもという話。
まとめサイトで書かれていたような 「問答無用でブロック」 というのは煽りタイトルなのであまり真に受けるのはやめた方がよいとして、Blink 開発プロジェクトの Google グループに投稿されていた、Chrome におけるシマンテック発行 SSL 証明書の有効期限を段階的に短縮する提案や EV (Extended Validation) SSL 証明書の EV ステータス無効化に関する提案は、我々ユーザー側にとっても非常に大きな問題ですので、わかる範囲でまとめておきます。
事の経緯、詳細情報
まず詳細な情報については下記が詳しい。
- Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates - Google グループ
- Google slaps Symantec for sloppy certs, slow show of SNAFUs : The Register
基本的には Blink 開発プロジェクト (blink-dev) のグループに投稿された内容 (上記リンク 1つめ) を読めば、経緯や提案されている内容的には理解できます。2つめのリンクは参考までに The Register が今回の件について報じた記事。
blink-dev グループの投稿にある本件の概要には下記のように書かれています。
Since January 19, the Google Chrome team has been investigating a series of failures by Symantec Corporation to properly validate certificates. Over the course of this investigation, the explanations provided by Symantec have revealed a continually increasing scope of misissuance with each set of questions from members of the Google Chrome team; an initial set of reportedly 127 certificates has expanded to include at least 30,000 certificates, issued over a period spanning several years. This is also coupled with a series of failures following the previous set of misissued certificates from Symantec, causing us to no longer have confidence in the certificate issuance policies and practices of Symantec over the past several years.
Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates - Google グループ から引用
簡単に訳すと、
- 1月19日以降、Google Chrome チームは Symantec による証明書の不適切な発行 (適切な認証手続きを行わずに証明書を発行していた件) について調査を行ってきた。
- 当初、不適切に発行された証明書の件数は 127件だとされていたが、シマンテック側に詳細を確認したところ、対象となる件数はこれよりも多く、少なくとも 3万件が数年間にわたって不適切に発行されていたと考えられる。
- 2015年に発生したインシデント (後述) とあわせ、我々は過去数年にわたるシマンテックの SSL 証明書発行業務を信頼することができなくなった。
2015年に発生した問題で業務を改善すると約束したのに、また同じようなこと繰り返しやがって...... という感じですね。ご立腹の様子がうかがえます。
一方、本件に対するシマンテック側の言い分は下記にまとまっています。
簡単にまとめれば、適切な認証手続きを経ずに発行された証明書の数は Google が言っている 3万件ではなく、127件ですよというのがこちらの主張 (とはいえ Google は当初 127件って聞いてたけど詳しく調べてみたらもっと多いやんけと言っているわけですが) で、引き続き Google 側とは話し合うという内容になっています。
ちなみに前述した Google がいう 2015年のインシデントというのは下記です。
- Google Online Security Blog : Sustaining Digital Certificate Security
- Symantec の証明書発行に不手際、Google が対応を要求 - ITmedia エンタープライズ
「google.com」 などを含む複数のテスト証明書を、ドメイン所有者が知らないうちに不正発行していたという重大インシデントで、その問題から 1年半しか経っていないにも関わらず、今回の問題が表面化したことで、再びシマンテック側の管理体制の甘さが問題とされています。
Google Chrome チームの提案
今回の問題を受けて Google Chrome チームが提案しているのは下記の内容。
- A reduction in the accepted validity period of newly issued Symantec-issued certificates to nine months or less, in order to minimize any impact to Google Chrome users from any further misissuances that may arise.
- An incremental distrust, spanning a series of Google Chrome releases, of all currently-trusted Symantec-issued certificates, requiring they be revalidated and replaced.
- Removal of recognition of the Extended Validation status of Symantec issued certificates, until such a time as the community can be assured in the policies and practices of Symantec, but no sooner than one year.
こちらも簡単にまとめると、下記のような感じ。
- シマンテックが新たに発行する SSL 証明書の有効期限を (最終的には) 9か月以内 に短縮する
- Google Chrome のリリースサイクルの中でシマンテックがすでに発行したすべての SSL 証明書を再検証し、新たな証明書への置き換えを進めていく
- シマンテックが発行した EV SSL 証明書の EV ステータスを、シマンテックに対する信頼が回復するまでの間(1年程度はかかるだろうが)、無効にする。
シマンテック発行 SSL 証明書有効期限の段階的な短縮
1番目の有効期限の件は、さすがにいきなりシマンテック発行の SSL 証明書の有効期限を 9ヶ月に短縮してしまうのは無茶なので、Google Chrome のリリースごとに段階的に短縮していく案が提案されています。具体的な提案を引用すると下記の通り。
The proposed schedule is as follows:
Chrome 59 (Dev, Beta, Stable): 33 months validity (1023 days)
Chrome 60 (Dev, Beta, Stable): 27 months validity (837 days)
Chrome 61 (Dev, Beta, Stable): 21 months validity (651 days)
Chrome 62 (Dev, Beta, Stable): 15 months validity (465 days)
Chrome 63 (Dev, Beta): 9 months validity (279 days)
Chrome 63 (Stable): 15 months validity (465 days)
Chrome 64 (Dev, Beta, Stable): 9 months validity (279 days)
この記事を書いている時点での最新リリース版は、Chrome 57 ですが、今年 6月 6日に安定版がリリース予定の Chrome 59 からシマンテック発行の SSL 証明書有効期限を 33ヶ月に短縮。その後リリースごとに徐々に短縮していって、最終的に Chrome 64 の安定版 (来年の年明けリリース予定) で 9ヶ月まで短縮されます。
これによって、不適切な処理がされていたと思われる時期に発行された SSL 証明書が、順次新たに発行されたものに置き換えられていくようにしていくということですね。
つまり、この提案通りに実装されるとすれば、今後、シマンテックの SSL 証明書を 1年以上の有効期限で購入するのはリスクになるかもしれません。まだ確定していないのでわかりませんけども。
シマンテック発行 EV SSL 証明書の無効化
3番目の、EV SSL 証明書の無効化に関しては、SSL 証明書自体は有効期限内なら無効にはならないですけども、EV ステータスが無効になるので、認証レベル的には組織認証 (Organization Validation) SSL 証明書としてしか機能しなくなると思われます。これ、EV SSL 証明書に高いお金払っている企業にとっては影響大きいですね。
最悪の場合、SSL 証明書の刷新 (シマンテック系以外の CA が発行した EV SSL 証明書への) が必要になる可能性があります。この場合、新たにかかる費用負担についてはシマンテックが何らかの保証をしないといけなくなるでしょうから、お金の面も含めて色々と面倒なことになりそうです。
まとめ
現時点では提案段階であり、あわせて Google Chrome 以外のブラウザがこの動きに追随するのかについてもまだわかりませんが、シマンテック発行の SSL 証明書を利用している、あるいは導入を検討しているという方は、ちょっと情報集めた方がいいかもしれません。
少なくとも Google Chrome においては、
- 折角長い有効期限で購入した SSL 証明書が、最短 9ヶ月で無効にされる
- EV SSL 証明書を導入したのに、アドレスバーが緑にならない
というリスクが現実になる可能性があります。
関連エントリー
- 5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
- Let's Encrypt (無料 SSL サーバ証明書) の設定が超簡単になったと聞いて試してみた件
- 当 Blog を SSL 対応させたので手順や修正が必要になった点などをまとめ
- 常時 SSL 化による Web サイト表示速度向上の可能性について
- FREAK (Factoring attack on RSA-EXPORT Keys) 対策で Web サーバに行った SSLCipherSuite の設定例
- Chrome 56 が正式リリース、SSL で保護されていないページにパスワード入力欄があるとアドレスバーで警告する
参考リンク
本エントリーよりもう少し詳しい記事
Google Chrome のリリース予定日については下記で確認可能です。
