SSL/TLSサーバ証明書の有効期限を短縮するCA/ Bフォーラムの新たな提案:それはセキュリティを改善するのでしょうか ?

CA / B フォーラム(※1)にて、SSL/TLS証明書の最大有効期限を13ヶ月に短縮する新たな提案がなされ、それについて議論が行われています。有効期間が39か月から27か月に短縮された2018年3月の措置に続く提案です。もしこの提案が可決された場合、2020年3月1日に変更が発効されます。このブログでは、この提案の価値を分析するとともに、想定される証明書ユーザーへの影響と比較してどのようなセキュリティ上の利点があるのか、を分析します。

有効期間が1年(13か月)の証明書は、より安全なのでしょうか?

長年にわたり、Webサイトを保護する証明書の有効期間は最大3年間とされていました。認証局は証明書に含まれるすべての情報を慎重に認証した後にのみ証明書を発行し、情報が無効になった場合はこれを失効させることができます。

2017年の初めにも、証明書の有効期間を1年に短縮しようとする試みがありましたが、CA / Bフォーラムにより否決されました。現在、同じ提案が再び行われています。これらの提案の背景にあるものは何でしょうか?また、こうした提案は電子証明書のセキュリティを高める利点があるのでしょうか?

インターネット通信の保護

近年インターネット上において電子証明書は、Webサイト利用者の個人情報を含む通信を保護するために不可欠になっています。これらの通信には、支払い情報、パスワード、保護された健康情報、企業秘密、その他の業務関連の機密情報など、様々な秘匿すべき情報が含まれることがあります。そのため、Webサイトには情報セキュリティ原則の3つの柱である機密性、整合性、可用性の確保が求められます。すべての通信は暗号化され、漏洩やダウンタイムを招いてはなりません。

こうした取り組みを確かなものとするために、Webサイトの管理者は、サーバーをいつ、どのようにアップデートすべきか、どのソフトウェアであればサーバー上で実行できるか、厳格な管理を行っています。多くの場合、特に金融および医療業界では、これらの変更管理手順を定める厳格な監査およびコンプライアンス要件が定められています。

近い未来に訪れると考えられる証明書の有効期間の短縮化、特に1年未満への短縮化には、多大なコストがかかります。全ての変更は正確に適用されるよう慎重にテストされ、システムのセキュリティに悪影響を与えないことが確認される必要があります。短期証明書を定期的かつ自動的に更新することは魅力的に聞こえるかもしれませんが、システムの複雑さを大幅に増加させ、重要なシステムに新しいソフトウェアエージェントを導入することで攻撃対象を増やす恐れもあります。これらのソフトウェアエージェントはインターネットに接続し、信頼性の高いシステムに直接証明書をダウンロードします。そのためシステムのセキュリティに悪影響を与えないよう、実装には十分な注意が必要です。

証明書のセキュリティを改善するという目標は、お客様が証明書管理の自動化を推進し、このような変更に備えるためにより多くの時間を費やすことができる環境が整った場合において、よりよく達成されると考えています。ここで重要なのは、証明書の有効期間を短縮する利点は理論的なものである一方で、特に短いリードタイムでの対応を迫られる場合に、変更を適用することのリスクとコストは現実のものであるということです。

提案によるセキュリティ上の利点

それでは、今回の提案がもたらすコストを正当化するだけのセキュリティの利点は何でしょうか?この点が、全く明らかではありません。今回の提案は、数日から最大で1〜2週間という短期間だけ活動するような悪意あるWebサイトには効果をもたらしません。なぜなら悪意あるWebサイトのドメインはさまざまなブラックリストに追加されますが、攻撃者はすぐに別の新しいドメインを作成して新しい証明書を取得するからです。

しばしば提唱されるもう1つの利点は、コンプライアンスルールが変更されたときに、短期証明書であればより迅速に対応可能だということです。証明書の有効期間が2年間であれば、今日発行される証明書は約2年後にもまだそのまま存在していることを意味します。しかし、証明書のエコシステムを管理している人たちは、少なくともその期間にわたって耐えることができるコンプライアンスルールを想定する責任を持ち、それを実行しているのではないでしょうか?リードタイムがほとんど与えられない中で幾度も証明書発行のルールを変更することは、証明書を運用または利用する人が変更を認識し、その内容を分析してシステムへの影響を判断し、他のすべての規制要件への遵守を鑑みつつ責任を持ってシステムを更改するための適切な準備をする時間を十分に与えないことになります。

この変更が比較的短いリードタイムで、すべての企業に一律に適用されようとしていることにも注意が必要です。このように短期間での変更の強制は、多くの企業で進行中の、より重要な他のセキュリティ案件からリソースを奪うリスクを生んでしまいます。

結論

証明書の有効期限を1年またはそれ以下に急激に短縮すると、電子証明書を使用してシステムを保護する多くの企業に多大なコストがかかります。このコストは、セキュリティの大幅な改善によっては相殺されません。またこの変更によって、違法なサイバー攻撃や正当な企業になりすます詐欺が防げるわけではありません。この変更により、多くの企業がインターネット通信と顧客を保護することが非常に困難になるだけで、メリットはありません。したがって、デジサートはこれらの変更案に反対するほかはありません。

※1 : CA/ブラウザフォーラムとは世界の認証局、ブラウザベンダーで構成される業界団体です。
https://www.cabforum.org/

Posted in CA/ブラウザフォーラム, HTTPS, SSL