×
セキュリティ

信頼性の低いシマンテック証明書の置き換えが予想以上に遅いとMozillaが嘆き

by Caspar Rubin

シマンテック傘下の認証局(CA)が発行する証明書には信頼性の低いものが含まれているとして、Googleはウェブブラウザの「Google Chrome」ではシマンテック傘下のCAが発行した証明書を段階的に失効させる計画であることを発表しました。Googleと同じように、Mozillaが開発するFirefoxでもシマンテックが発行したTLS証明書を段階的に無効化していくための計画が練られているのですが、失効してしまった証明書をそのままにしてしまっている大手ウェブサイトも複数いるとのことで、Mozillaが警告しています。

Delaying Further Symantec TLS Certificate Distrust | Mozilla Security Blog
https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/


2018年8月13日、Firefoxの開発者向けバージョンのひとつである「Firefox Nightly」で、シマンテックの証明書を無効化するための段階的な措置がひとつ進みました。これにより、シマンテック傘下のCAであるGeoTrust・RapidSSL・Thawteといった企業が発行したTLS証明書は、一部を除きFirefox Nightly上では無効なものとなりました。

しかし、多くの人気サイトがまだシマンテック傘下のCAが発行した証明書を使用していることが指摘されており、最新のデータによると、世界でもアクセス数の多いウェブサイトトップ100万のうち、1%は依然として無効化されるとアナウンスされたシマンテックのTLS証明書を使用したままであることが明らかになっています。

以下の画像はアクセス数の多いウェブサイトトップ100万(赤)・トップ1万(緑)・トップ1000(黄)・トップ100(青)ごとに、失効予定のシマンテック証明書を使用したままのウェブサイトの割合を示したグラフ。横線が時期、縦線が%を示しており、2018年10月時点でもトップ100万およびトップ1万の1%がシマンテック証明書を利用したままであることがわかります。


シマンテックの証明書を無効化することが通知されてからある程度の時間が経過した時点でも、証明書を変更しないウェブサイトが多いことから、Firefox 63 Nightlyと同じように別バージョンのFirefoxでもシマンテック証明書を無効化してしまうと多くのユーザーに影響を与える事態となってしまうとのこと。

シマンテックのPKI事業を買収したDigiCertは無料で無効化がアナウンスされている古い証明書を交換するとアナウンスしていますが、いまだに多くのウェブサイト運営者が証明書を更新しておらず、「これは非常に残念なこと」とMozillaは嘆いています。

Mozillaはシマンテックの証明書を無効化するスケジュールが遅れることとなれば別のリスクが高まるとしつつ、現在の状況を考えればより多くのユーザーがシマンテックのTLS証明書を変更するまでは無効化スケジュールを延期することが最適であるとし、2018年後半まで変更のリリースを延期するとしています。ただし、2018年10月中旬のリリースが予定されているFirefox 64 Betaではシマンテックの証明書が無効化される予定です。

・関連記事
シマンテックのCA事業売却に伴ってChromeでのシマンテック証明書の無効化スケジュールをGoogleが発表 - GIGAZINE

Google Chrome 66安定版リリース、Symantecの認証局が2016年6月1日以前に発行した証明書が無効に - GIGAZINE

中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針 - GIGAZINE

SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by logu_ii