パブリックトラストと証明書

CT ログとは何ですか?

CT ログとは何ですか?

CT ログとは、各認証局による TLS/SSL 証明書の発行を、公に監視できるよう記録したものです。デジサートは 2013年、認証局として初めて CT ログを作成し Google に承認されました。


CT ログの監視とは何ですか?

CT ログの監視とは、組織のドメインに対して公に発行された証明書が本物かつ正当であり、悪意のある攻撃者によって不正に発行されたものでないことを確実にするため、すべての発行済み証明書を追跡することです。悪意のある攻撃者が Web サイトのなりすましを企てると、組織は CT ログの監視によってそれを知ることができます。また、CT ログによって、認証局は発行した証明書に対する説明責任を果たすことができます。デジサートは CT ログを公開した初めての認証局です。

関連記事:

https://docs.digicert.com/ja/manage-certificates/logging-public-ssl-tls-certificates-to-public-ct/

https://docs.digicert.com/ja/certificate-tools/ct-log-monitoring-service/

https://dev.digicert.com/ja/services-api/ct-log-monitoring-api/


ブラウザの証明書の透明性(CT)ポリシーはどのようになっていますか?

ブラウザの証明書の透明性(CT)ポリシーは以下の通りです。

  • Apple Safari: Apple は 2018 年 10 月 15 日以降、認証局に対し、すべての SSL/TLS 証明書(EV、OV、DV)でログを必須としています。
  • Google Chrome: Google は 2018 年 4 月以降、認証局に対し、すべての SSL/TLS 証明書(EV、OV、DV)でログを必須としています。
  • Firefox: 実装していません。

関連記事:

https://www.digicert.com/jp/tls-ssl/ct-log-monitoring


CT ログはなぜ重要なのですか?

証明書の透明性(CT)ログがあることによって、Web サイトの所有者は、自分のドメインに対して公に発行されたすべての証明書を追跡し、悪意のある攻撃者によってドメインが乗っ取られるのを防ぐことができます。CT ログは、証明書の発行を公に監視できるよう記録することで、TLS/SSL 証明書のエコシステムを強化しているのです。Google は 2015 年から認証局に対し、EV 証明書を公的な CT ログに記録するよう求めています。2018 年 4 月からは、OV 証明書と DV 証明書についても公的な CT ログに記録するよう求めています。


なぜ CT ログによってパブリックトラストが高まるのですか?

CT ログは、特定の認証局によって発行されたすべてのパブリック証明書に対して説明責任を果たすため、社会的信用を高めることができます。つまり、CT ログは、証明書の発行を公に監視できるよう記録することで、TLS/SSL 証明書のエコシステムを強化しているのです。