GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる

Google ChromeとMozillaのFirefoxが、中国の認証局(CA)である「CNNIC」が発行する証明書を「信頼できないもの」として一時的に失効させることを発表しました。

Google Online Security Blog: Maintaining digital certificate security
http://googleonlinesecurity.blogspot.jp/2015/03/maintaining-digital-certificate-security.html

Distrusting New CNNIC Certificates | Mozilla Security Blog
https://blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates/

Google Chrome will banish Chinese certificate authority for breach of trust [Updated] | Ars Technica
http://arstechnica.com/security/2015/04/google-chrome-will-banish-chinese-certificate-authority-for-breach-of-trust/

HTTP通信をSSLを使って暗号化することでより安全に行えるようにするのが「HTTPS」で、アドレスの最初が「https」で始まるものがこれに当たります。SSLを使用する安全な通信を行うには、ウェブブラウザはウェブサーバから証明書を送ってもらい、サイトがどのCAにより認可されているのかを確認し、自分のルート証明書のリストにそのCAが含まれているかどうかを確認することで、ようやく信頼できるサイトかどうかを判断できるようになっています。

GoogleやMozillaといった主要ブラウザを提供する企業がCNNICによる証明書を失効した背景には、CNNICの中間CAであるMCSが不正なデジタル証明書を発行していたことがあります。CNNICはMicrosoftのInternet ExplorerやGoogle Chrome、Firefoxなどの主要ブラウザのCAとして、多くの証明書を発行している信頼されたCAでした。そのCNNICから認証を受けているMCSが不正な証明書を発行したため、この不正な証明書を使用すれば主要ブラウザ上では「信頼できるサイト」として表示されてしまい、悪意のあるハッカーなどの標的にされてしまう可能性がありました。この事態を受け、Googleは即座に注意喚起を行い、MicrosoftやMozillaもMCSから発行されていた不正な証明書を失効させています。

この事態を受け、Google ChromeとFirefoxではCNNICから発行された証明書を全て信頼できないものとして失効させることを決定。ただし、即座にCNNICによる証明書を失効してしまえば銀行や電子商取引サイトが接続不能となり、多くの人々が莫大な損害を被ることになります。そこで、GoogleとMozillaはCNNICから証明書を発行してもらっているウェブサイトを管理している人々が被害を受けないように、管理側がCNNIC以外の認証局から新しい証明書を取得できるだけの猶予期間を設けるため、既にCNNICから発行された証明書についてはしばらくの間、失効させないことを明らかにしています。ただし、その期間については不明なままで、CNNICやCNNICから認証を受けているCAが新たに発行する証明書については、信頼できないものとして扱う、とのこと。

Mozillaが行った調査結果では、CNNICが中間CAに証明書を発行するプロセスはあまりにずさんなもので、PKIプラクティスは文章化されておらず、秘密鍵の保管方法もずさんなものであり「あまりにもひどいものであった」とCNNIC側を批判しています。なお、MozillaのFirefox 37では、MCSから発行された全ての証明書が失効しています。

なお、Google側は「CNNICが適切な技術的措置と管理法が実施された後の再申請を歓迎する」と比較的温和な対応を見せていますが、CNNICはGoogleの対応を批判しています。