信頼性の低いシマンテック証明書の置き換えが予想以上に遅いとMozillaが嘆き

by Caspar Rubin

シマンテック傘下の認証局(CA)が発行する証明書には信頼性の低いものが含まれているとして、Googleはウェブブラウザの「Google Chrome」ではシマンテック傘下のCAが発行した証明書を段階的に失効させる計画であることを発表しました。Googleと同じように、Mozillaが開発するFirefoxでもシマンテックが発行したTLS証明書を段階的に無効化していくための計画が練られているのですが、失効してしまった証明書をそのままにしてしまっている大手ウェブサイトも複数いるとのことで、Mozillaが警告しています。

Delaying Further Symantec TLS Certificate Distrust | Mozilla Security Blog
https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/

2018年8月13日、Firefoxの開発者向けバージョンのひとつである「Firefox Nightly」で、シマンテックの証明書を無効化するための段階的な措置がひとつ進みました。これにより、シマンテック傘下のCAであるGeoTrust・RapidSSL・Thawteといった企業が発行したTLS証明書は、一部を除きFirefox Nightly上では無効なものとなりました。

しかし、多くの人気サイトがまだシマンテック傘下のCAが発行した証明書を使用していることが指摘されており、最新のデータによると、世界でもアクセス数の多いウェブサイトトップ100万のうち、1％は依然として無効化されるとアナウンスされたシマンテックのTLS証明書を使用したままであることが明らかになっています。

以下の画像はアクセス数の多いウェブサイトトップ100万(赤)・トップ1万(緑)・トップ1000(黄)・トップ100(青)ごとに、失効予定のシマンテック証明書を使用したままのウェブサイトの割合を示したグラフ。横線が時期、縦線が％を示しており、2018年10月時点でもトップ100万およびトップ1万の1％がシマンテック証明書を利用したままであることがわかります。

シマンテックの証明書を無効化することが通知されてからある程度の時間が経過した時点でも、証明書を変更しないウェブサイトが多いことから、Firefox 63 Nightlyと同じように別バージョンのFirefoxでもシマンテック証明書を無効化してしまうと多くのユーザーに影響を与える事態となってしまうとのこと。

シマンテックのPKI事業を買収したDigiCertは無料で無効化がアナウンスされている古い証明書を交換するとアナウンスしていますが、いまだに多くのウェブサイト運営者が証明書を更新しておらず、「これは非常に残念なこと」とMozillaは嘆いています。

Mozillaはシマンテックの証明書を無効化するスケジュールが遅れることとなれば別のリスクが高まるとしつつ、現在の状況を考えればより多くのユーザーがシマンテックのTLS証明書を変更するまでは無効化スケジュールを延期することが最適であるとし、2018年後半まで変更のリリースを延期するとしています。ただし、2018年10月中旬のリリースが予定されているFirefox 64 Betaではシマンテックの証明書が無効化される予定です。