踊る PKI
ありがちなようで(もしかしたら)深い話。
- Distrusting New CNNIC Certificates | Mozilla Security Blog
- GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる - GIGAZINE
- グーグル、中国の認証機関CNNICのルート証明書を排除へ - CNET Japan
最近発覚した、Googleの複数のドメインに対し不正な証明書が発行された問題で、同社は、中国のドメイン(.cn)を管轄する認証機関であるChina Internet Network Information Center(CNNIC)のすべての証明書を、同社の製品でブロックすることを決定した。
グーグル、中国の認証機関CNNICのルート証明書を排除へより
事の発端は先週のこれ。
- Google Online Security Blog: Maintaining digital certificate security
- マイクロソフト セキュリティ アドバイザリ 3050995
- Revoking Trust in one CNNIC Intermediate Certificate | Mozilla Security Blog
エジプトの企業 MCS Holdings が CNNIC(China Internet Network Information Center)から取得した中間認証局証明書を悪用し google.com, google.com.eg, g.doubleclick.net, gstatic.com, www.google.com, www.gmail.com, googleapis.com 各ドメインの証明書を偽造していた問題。
Mozillaが行った調査結果では、CNNICが中間CAに証明書を発行するプロセスはあまりにずさんなもので、PKIプラクティスは文章化されておらず、秘密鍵の保管方法もずさんなものであり「あまりにもひどいものであった」とCNNIC側を批判しています。
GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させるより
こういう話は頻繁にあるわけではないが珍しいことでもない。 たとえば2013年にも
米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。
Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。
[...]
GoogleはChromeブラウザで問題の証明書を失効させ、この証明書を発行した中間認証局を遮断する措置を講じた。
Googleドメイン用の不正証明書が発行される、各社が失効措置へ - ITmedia ニュースより
という話があった。 ただし,このときは実際に不正を行った中間認証局(の証明書)をブロックしただけだったが,今回は CNNIC のルート証明書を(一時的? にせよ)ブロックしている。 この影響はかなりデカくて
「この決定によって影響を受ける顧客を支援するため、公表されたホワイトリストを使用し、一定期間CNNICの既存の証明書を信頼できるものとして使用できるようにする」とGoogleは述べている。
グーグル、中国の認証機関CNNICのルート証明書を排除へより
ふつう,証明書の有効性は(権威的)CA 側が判断するもので,アプリケーションにすぎない Chrome 等のブラウザがやることではない。 そういうことをアプリケーション側がやらざるを得ないってのが現在の状況だということだ。 もちろんブラウザ側の判断が常に正しいという根拠は何もない(今回の判断は妥当だと思うけどね)。 私たちはただ状況に応じて「選択」することしかできない。
こうやって少しずつ(X.509 型の)PKI は壊れていくんだねぇ。 EV SSL なんか鼻くそほどの役にも立たないという証拠である。
