07-08-2020

下位認証局へ委任されたOCSPレスポンダーとEKUチェーンの使用

2020年に、技術的な欠陥により一部の認証局(CA)が、自らが発行・管理していない証明書に対して有効なOCSPレスポンスを作成することが可能であることが報告されました。これは、これらの証明書を運用・管理する認証局にとって問題となります。

これは複雑な問題ですが、今回の記事は、さまざまな状況での影響を判断するのに役立つでしょう。詳細を説明する前に、順に見てみましょう。

委任されたレスポンダーが存在するのはなぜですか?

委任されたレスポンダーは、親(認証局)の代わりにOCSPレスポンスを作成するために存在します(つまり、レスポンスを作成する責任が委任されています)。例えば、コンテンツ配信ネットワーク(CDN)を利用して、OCSPレスポンスを作成・配信する場合、親鍵を複数のデータセンターに置く必要が無くなります。

委任されたレスポンダーとは何ですか?

委任されたレスポンダーとは、親証明書の代わりに委任されたレスポンダー証明書を使用するOCSPレスポンダのことです。もともとOCSPレスポンスは、委任されたレスポンダーを使うのではなく、証明書の親が直接署名していました。

どのような仕組みになっているのでしょうか?

OCSPレスポンダー証明書(委任されたレスポンダー証明書)は、親に代わってOCSPレスポンスにのみ署名できる証明書です。より価値のある親証明書ではなく、CDNでその証明書を使用します。

証明書がOCSPレスポンダー証明書として機能できるかどうかを判断する方法は、OCSPSigning EKUを持っているかどうかです。

EKUチェーン

EKUはもともとエンドエンティティ証明書(お客様向けに発行される証明書)にのみ存在していました。ところがエンドエンティティ証明書のEKUの用途をすべて中間証明書に含めることによって、中間認証局が特定の種類の証明書のみを発行するように制限することが有用であると考える人もいました。これは、エンドエンティティ証明書のユースケース(コード署名、電子メール保護など)を指定するEKUには適していますが、証明書自体に新しい機能(OCSP署名など)を提供するEKUにはあまり適していません。

例えば、serverauthまたはclientauth EKUのいずれか、または両方を持つ証明書を発行する中間認証局は、serverauthおよびclientauth EKUの両方を持つことになります。中間認証局は、エンドエンティティ証明書のEKUの組合わせのすべての組み合わせを持っています。

このため、認証局ソフトウェアの中には、証明書にEKUが含まれている場合、親にもEKUが含まれていることを求めるものがあります。

信頼ポイントの交差点での事故が多い

Delegated Responder通りとEKU通りの交差点では、何が起きているでしょうか?EKUチェーンの条件を満たすために上位の中間CA証明書にOCSP署名EKUを委任させる場合です。そうするとその中間CA証明書はその親になり代わってOCSPレスポンダとして機能する技術的能力を持ってしまいます。これは、問題を引き起こす可能性のあるエラーです。

正しくは、OCSP署名用EKUを親に設定しないことです。具体的な方法は、認証局のソフトウェアに対して、EKUチェーンの設定エラーがでないようにするためのいくつかの操作が必要になります。

誤った証明書

このように、技術的な背景とエラーの背景を踏まえた上で、誤った証明書の意味を考えてみましょう。

OCSP署名EKUを持つ中間証明書の秘密鍵にアクセスできる人は、その証明書の兄弟のいずれに対しても有効なOCSP応答を作成することができます。同じグループや組織が両方を運営している場合、そのグループは親を使って同じOCSPレスポンスを直接作成できるため、セキュリティ上の影響はありません。しかし、兄弟が異なる組織によって所有されている場合は、一方の組織が他方の組織のために有効なOCSPレスポンスを作成することができます。これにより、相手が失効している、あるいは失効していないのいずれかを、第三者に信じ込ませることができます。

なおこれを実行できるのは、影響を受ける1つ以上の中間認証局の秘密鍵にアクセスできる人だけです。ほとんどの場合、これらの秘密鍵は、ブラウザから信頼される新しい証明書を発行することもできます。そのため、これらの鍵は軍用基準のハードウェアセキュリティモジュールに保管され、外部から侵入される可能性はほとんどありません(もし侵入されていたとしたら、OCSP応答の署名が偽造される可能性よりもはるかに大きな問題があります)。

まとめ

中間認証局にOCSPSSigning EKUが存在すると、予期せぬセキュリティ上の問題が発生する可能性があります。

デジサート自体は委任されたレスポンダーを使用していないため、ほとんどのデジサート証明書階層は影響を受けませんが、パートナーやお客様の中には委任されたレスポンダーを使用している方もいらっしゃいます。

現在の情報は、「DigiCert MDSP post for our action plan」を参照してください。

行動喚起について

証明書インフラストラクチャの運用者は、OCSPSigning EKUを含むICAの階層を検索し、状況の深刻さを慎重に検討した上で、正しく発行されたICAに移行する計画を立てる必要があります。

UP NEXT

安全なリモートEメール利用のための5つのヒント

特集記事

デジサート2021年 情報セキュリティ予測

blog-card-images
09-20-2019

IDCの新しい調査で、エンタープライズセキュリティへのPKI 利用の増加傾向が明らかに

米国科学アカデミーによるレポート:量子コンピューティングに関するDigiCertの見解