ルート証明書 11-09-2021

ルート証明書の管理には、戦略的なプランが重要です

Jeremy Rowley

2021年10月にLet's Encryptのルート証明書の有効期限切れにより、接続されたサービスやデバイスが停止するなどの問題が発生しました。これは、ルート証明書の仕組みと、ルート証明書の期限切れによる混乱を回避し、PKI プログラムを確実に成功させるためにセキュリティチームが取るべき手順についての重要な注意を喚起するものです。

エンドエンティティ証明書(認証された団体向けに発行される証明書)よりも有効期間が長くなりますが、ルート証明書にも有効期限があります。ルート証明書の有効期限切れに対する戦略的なプランを作成しておかないと、大混乱や頭痛の種になる可能性があります。PKIを導入する組織は、証明書の種類にかかわらず、ルート証明書に関する戦略を検討しておく必要があります。まず、証明書のチェーン情報をどのように設定するかによって、ルート証明書の期限切れにおける証明書のグループに大きな影響を与えます。今回は特にクロス署名に焦点を当てます。

クロス署名の長所と短所

ルート証明書と他の認証局(CA)からの証明書の間に複数の有効なパスを作成するクロス署名は、長年にわたり業界では、一般的に行われてきました。これにはメリットもデメリットもあります。すでに信頼されたルート証明書の署名を受けることで、CAは自らの新しいルート証明書を立ち上げることができ、市場への参入障壁を取り除くことができます。これは、そのCAが自らのルート証明書の信頼を確立するまでの時間を稼ぎ、最終的には移行させることができます。

しかし、証明書チェーンの基本であるルート証明書が、"最も弱いリンク" である可能性もあります。デバイスメーカーがルート証明書の有効期限を考慮していない場合、ルート証明書の有効期限切れの際に、証明書のチェーン情報を更新する方法がない可能性があります。期限切れになると、デバイスが起動しなくなったり、デバイスやアプリケーションがブラウザに接続したときに、エンドユーザーが障害やエラーメッセージに遭遇したりするなど、解決できない問題が発生します。クロス署名の問題は、最近、いくつかのメーカーのテレビに影響を与えました。このデバイスは、ルート証明書とクロス署名された証明書を使用し、古いデバイスと現在のデバイスの両方が、証明書を信頼できるようにしていました。古いルート証明書の有効期限が切れると、テレビは証明書のチェーン情報を更新する手段を持たず、古いデバイスはソフトウェアの更新のために安全なインターネット接続を確立することができませんでした。

IoTデバイスは特に脆弱

IoTデバイスは、ルート証明書の期限切れ問題に対して特に脆弱です。これらの機器は、限られたスペースと動作能力が優先されるために、適切なルート証明書更新システムが見落とされてしまうことがあります。残念ながら、デバイスの有効期間よりも前に期限切れとなるルート証明書を使用しているIoTデバイスが、市場には数多く存在しています。これらのレガシーIoTデバイスの一部は、アップデートが難しく、無線サポート機能がないものもあります。このような場合、ルート証明書を更新するには、エンジニアによる手動更新が必要になり、時間とコストがかかります。ルート証明書に関する重大な脆弱性が検出された場合、デバイスをアップデートする機能がないことは、非常に危険です。IoTメーカーは、パッチを長期にわたってデバイスに適用できるようにするために、デバイスがシームレスなアップデート機能を持つように設計・計画する必要があります。また、IoTデバイスには、デバイスの寿命を超えたルート証明書が設定される必要があります。

ルート証明書戦略の立案が重要

PKIを導入し、IoTデバイスやエンタープライズPKI、その他のユースケースにルート証明書を活用している組織であれば、効果的な計画を立て、最初からルート証明書の戦略を検討することが重要です。今後1年間だけでなく、デバイスやアプリケーションのライフサイクルを考慮し、ルート証明書をより優れた新しいものに移行する計画を立てることが必要です。ルート証明書は10年や20年で期限切れになることがありますが、ルート証明書の有効期限よりも長く使える製品や機器もあります。PKIに依存している組織にとっては、ユースケースに沿った戦略的なアプローチの導入が重要であることは明らかです。

最終的には、IoT向けであれ、ウェブ向けであれ、成功のための計画を立てることが重要です。プライベート証明書、パブリック証明書、あるいはその両方を組み合わせて使用する場合でも、長期的に成功するためのルート証明書の戦略を確認してください。

認証局に相談してください

IoTデバイスやその他の接続製品が完璧に機能し続けるためには、投資が必要な場合もあります。デジサートは、お客様をサポートするためのルート証明書の戦略を構築した豊富な経験と、この分野における長い歴史を持っています。デジサートは、組織が将来的にルート証明書の問題を回避できるよう、コンサルティングやコラボレーションを行っています。

すぐに入手可能な証明書を取得するのではなく、必要なサポートと管理を提供し、デバイスのライフサイクルを十分に理解して、数ヶ月後、数年後にそれらに合わせたルート証明書戦略を設定してくれるパートナーを選択してください。

UP NEXT
ニュース

TLS/SSLの最新ニュース:
2021年10月

5 Min

特集記事

デジタルトラストは IT の重要課題

04-13-2022

DigiCert CertCentral® の機能強化でさらに詳細な検出、ドメイン一括認証、その他が可能に

進化する脅威からデジタルプラネットを保護する