Mozilla が Entrust の発行した TLS/SSL 証明書を無効化するという決定を発表したとき、サイバーセキュリティ業界の注目を集めました。トップニュースの話題の中心は、デジサートからの多くの記事も含め、無効化の背景にある理由と、Entrust の顧客が証明書をいつ、どこで、どのように置き換える必要があるかでした。

しかし、事態はブラウザベースのやり取りにとどまりません。Mozilla の決定は、Mozilla トラストストアに依存しているすべてのエコシステムに波及する連鎖的影響があり、プラットフォーム、アプリケーション、エンドユーザーも同様に重大な影響を受けます。

Firefox にとどまらない: Mozilla による無効化決定の連鎖的影響

Mozilla による Entrust ルートの無効化は Firefox だけに限定されません。多くのプラットフォームとアプリケーションにまで及ぶ可能性があります。その理由は、オープンソースエコシステムの膨大な数の非ブラウザ TLS クライアントが、Mozilla トラストストアに依存しているためです。その中には、Linux 環境、Oracle システム、curl 開発ツール、その他日常的に使用されている重要なテクノロジーも含まれています。

これらのシステムが、無効化された、または期限切れの証明書に遭遇すると、一時的な不便を招くだけでなく、業務が中断する可能性もあります。影響を受けるシステムとツールを詳しく見ていきましょう。

Oracle システム

Oracle のエンタープライズツールは、セキュアな通信のために信頼された証明書に大きく依存しています。Entrust ルート証明書の無効化は、これらの環境に影響を及ぼしますが、落とし穴は、これらのルートに Java が依存していることです。

Java は、Salesforce などの CRM ソリューション、ビッグデータ分析、モバイルアプリなど、数えきれないほどの基幹アプリケーションの根幹を支えています。自動化されたシステムが不適切な証明書のせいでエラーとなった場合、機能停止や中断が発生します。つまり、このレベルでの信頼の崩壊は、ワークフローを破壊するだけでなく、企業の業務を支えている必要不可欠なツールの一部を、セキュリティと信頼性の危機に陥らせるということです。

Linux ディストリビューション

多くの Linux ディストリビューションは Mozilla の Network Security Services（NSS）を使用しています。これは、Red Hat や Google などの企業がさまざまな製品で使用している暗号ライブラリのオープンソース実装です。証明書の無効化はドミノ効果を生み、パッケージマネージャー、システム更新、その他不可欠なプロセスに影響を及ぼし、Linux ベースの多様な環境全体に課題が広がります。

curl と OpenSSL の開発者

curl ツールは API コール、スクリプトの自動化、ウェブサービスとのやり取りに欠かせません。同様に、OpenSSL はサーバーとウェブサイトでのセキュアな通信の基盤です。証明書が信頼を失うと、その証明書に依存している開発者はエラー、遅延、中断に直面し、その影響は開発とデプロイメントのライフサイクル全体に広がります。

E メールクライアント

強固なユーザーベースを持つ Mozilla Thunderbird などの E メールクライアントも影響を受けます。Thunderbird は、個人情報管理、カレンダー処理、連絡先、RSS フィードという複数の役割を担っています。無効化された Entrust ルート証明書は、これらの機能を妨げ、Thunderbird のシームレスな機能性に頼っているユーザーを困らせる可能性があります。

セキュリティを確保し続けるために組織にできること

信頼は最新のデジタルエコシステムの相互接続を実現するために不可欠です。デジタル通信のセキュリティと信頼性を確保するには、組織がルートストアの変更に備えて準備をし、対応することが極めて重要です。

以下のステップに従って、無効化されたルートが組織に影響を及ぼさないようにしましょう。

1. 継続的な監査: Entrust ルートと Entrust が発行した証明書を特定するために定期監査と継続的な監視に力を尽くすことにより、影響を受ける証明書を検出し、信頼された証明書に置き換えることができます。

2. インシデント対応計画の準備: インシデント対応計画を最新の状態に保ち、認証局（CA）の危殆化に効率的に対処し、Entrust ルートや ICA にピン留めされた証明書を削除します。

3. コンプライアンス監視の自動化:  デジサートの無料のオープンソース証明書リンターである pkilint などのツールを使用し、証明書に対して自動のコンプライアンスチェックを実行します。

4. 証明書管理の自動化: 証明書ライフサイクル管理（CLM）を自動化することにより、問題のある証明書が実際に問題を引き起こす前に検知して置き換えることができます。

組織を将来の脅威から守る最善の方法

多くの組織はいまだに、証明書の追跡管理をスプレッドシートで行うというような手作業に依存しています。このアプローチでは、物事がうまくいかないときに方向転換が非常に難しくなります。

DigiCert Trust Lifecycle Manager などの自動化された CLM ツールを導入することにより、すべての証明書の監視、更新、置き換えをシームレスに行うことができます。証明書管理を自動化することにより、サービス中断を回避し、コンプライアンスを維持し、証明書の失効時に CA/B フォーラムの厳格な期限を守るために必要な暗号化の俊敏性が得られます。

デジタルトラストに関する最新情報

暗号化の俊敏性、自動化、証明書ライフサイクル管理などのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。