ログ、ブラウザ、認証局から見た CT (証明書の透明性)サポートの現状
ログ
デジサートでは 2018 年 2 月より、新規に発行された公的に信頼されている TLS/SSL 証明書をすべてデフォルトで CT(Certificate Transparency: 証明書の透明性)ログに登録しています。お客様のセキュリティ向上と導入促進のため、Google が業界全体に対してログを必須化した 2018 年 4 月より前からこのような変更を行いました。2018 年以前は、EV (Extended Validation: 拡張認証)証明書についてのみ、ログへの登録が要求されていました。
デジサートは独自の CT ログを運用しており、これは Google にも使用されています。ログを含めるには、90 日間のテスト期間を通じて証明された高度な可用性が必要です。このような高度な要件を満たさないログは信頼されません。そのため、デジサートでは、細心の注意を払ってログを構築し、発行するすべての証明書数に対応できる十分な堅牢性を確保しました。
ブラウザ
Chrome – Chrome は 2014 年初頭に CT のサポートを開始しました。現在はそのサポート範囲を拡大し、証明書を発行するすべての認証局 に対して必須化しています。
1 年証明書について、Google は 2 つの独立したログからの CT 検証を要求しました。2020 年に 1 年証明書が標準になる前に発行された 2 年証明書については、少なくとも 3 つの独立したログによる CT 検証を含めることを要求しました。認証局の移行を容易にするため、Google は一時的に独立性の要件を緩和し、Google のログから 2 つ、デジサートのログから 1 つの証跡を含めることを許可しました。これは、十分な数の運用ログを確保するために、当面の間、より多くの認証局や関係者がログを作成することを期待してのことでした。
Firefox– 現在のところ、Firefox はユーザーが訪問するサイトについて CT ログをチェックしておらず、その使用も要求していません。
Safari– Apple は、Safari やその他のサーバーがサーバ証明書を信頼するために、状況に応じて異なる数の SCT (Signed Certificate Timestamp)を要求します。
認証局
IETF (Internet Engineering Task Force)が定める RFC 9162 は、パブリック認証局に対して、新しく発行したすべての証明書を 1 つまたは複数のログに提供することを求めています。ただし、証明書所有者(または第三者)が自身の証明書チェーンを提供することもできます。
2015 年 1 月までに、主要な認証局すべてが、発行した EV 証明書の CT ログサーバーへの登録を開始しました。EV 証明書を発行する認証局が Google の要件に準拠するためには、Google が提供する 2 つのログとデジサートログを使用することが要求されました。
デジサートはどのように証明書の透明性に準拠しているのか
CT は、証明書の発行を公に監視できるよう記録することで、TLS/SSL 証明書のシステムを強化しています。Google は 2015 年から認証局に対し、EV 証明書を公的な CT ログに記録するよう求めています。2018 年 4 月からは、OV 証明書と DV 証明書についても公的な CT ログに記録するよう求めています。
2018 年 2 月 1 日より、デジサートは新しく発行するすべてのパブリック TLS/SSL 証明書をパブリック CT ログに公開するようになりました。この変更は、2018 年 2 月 1 日以前に発行された OV (Organization Validation)証明書、DV (Domain Validation)証明書には影響しません。
CT ポリシーに対応するブラウザ:
Google は 2018 年 4 月以降、認証局に対し、すべての TLS/SSL 証明書(EV、OV、DV)でログを必須としています。
Apple は 2018 年 10 月 15 日以降、認証局に対し、すべての TLS/SSL 証明書(EV、OV、DV)でログを必須としています。
証明書の透明性(CT)の背景と歴史
2011 年、オランダの DigiNotar という認証局が攻撃を受け、DigiNotar の信頼されたルートから 500 以上の偽証明書が発行されるという事件がありました。攻撃者はこれらの証明書を用いて Google や Facebook を含む多数のサイトになりすまし、信用し切っているユーザーに対して中間者攻撃を仕掛けました。
他にもデジサート以外の認証局による証明書の誤発行や不正発行が話題になったこともあり、Google のエンジニアは新たな解決策を探ることとなりました。その中で、Ben Laurie と Adam Langley という 2 人のエンジニアが CT (証明書の透明性)というアイデアを思いつき、オープンソースプロジェクトとしてフレームワークの開発を始めました。2012 年、Laurie と Langley は IETF と共同で証明書の透明性の概要を含む草案を作成し、2013 年に RFC を発行しました。
2013 年、Google は 2 つのパブリックなログの運用を開始し、いずれは Google Chrome で使用するすべての EV SSL 証明書について CT を必須化する計画であると発表しました。
デジサートでは、2012 年から CT の組み込みについて実験を行い、CT 実装の提案に対してフィードバックを提供してきました。2013 年 9 月、デジサートは認証局として初めて CT をシステムに導入しました。同年 10 月には、認証局として初めて CT の証跡を SSL 証明書に埋め込むオプションをお客様に提供開始しました。
2014 年 9 月、デジサートは Google Chrome に含めるプライベートログを Google に提出しました。デジサートのログは 2014 年 12 月 31 日に受け入れられました。デジサートは、CT ログを作成した最初の認証局です。
