メモ

無料でWindowsの多すぎるルート証明書をスリム化してセキュリティを高められる「RootIQ」レビュー


ブラウザでネットサーフィンをしていると「このウェブサイトは安全でない可能性があります」といった警告を目にした経験がある人は多いはず。警告が表示される原因のひとつに「信頼されていない証明書をウェブサイトが利用している」ことがありますが、どの証明書を信頼するかはプラットフォームやデバイスによってまちまちです。Windows向けフリーソフトの「RootIQ」を使うと、手軽に信頼する証明書を減らして、デフォルトで非常に多くの証明書を信頼しているWindowsのセキュリティを向上させられます。

RootIQ
https://www.metasudo.com/

You don't need all those root certificates – – Writeups and random thoughts.
https://hexatomium.github.io/2020/10/17/001.html

インターネット上のウェブサイトなどが自身の正当性を証明する仕組みとしては、認証局からSSL証明書を発行してもらい、クライアント側はその証明書をもとに検証を行う方法が一般的です。しかしこの方法では、ウェブサイトの正当性だけでなく証明書を発行した認証局自体の正当性を証明する必要もあります。認証局の正当性を証明するためにより上位の認証局がSSL証明書を発行して……といった連鎖を「信頼の連鎖」と呼び、この連鎖の頂点に位置するのがルート証明書です。

ルート証明書は世界的に有力で信頼できる認証局や政府機関によって発行されます。OSやブラウザなどであらかじめルート証明書を信頼し、「証明書の連鎖をたどって最終的にたどり着いたルート証明書」の正当性を確認できれば全体の正当性も担保されるという仕組みです。


サイバーセキュリティに関する情報を提供しているhexatoms氏は、このルート証明書について「インターネット上で多大な権力が与えられている」と指摘。デバイス上で信頼するルート証明書が多ければ多いほど、正当と判断するウェブサイトやサービスも多くなるため、ルート証明書の数を制限することはセキュリティの観点から理にかなっているとのこと。

信頼される証明書の数はプラットフォームやデバイスによって異なっており、記事作成時点ではWindowsはデフォルトで332件のルート証明書を信頼しています。Firefoxを開発するMozillaはより厳格で、142件のルート証明書を「信頼する証明書」としてリストアップしています。Googleの場合はさらに厳しく、127件のルート証明書しかリストに含めていません。

セキュリティ向上のためにルート証明書リストをひとつずつ無効にするのは手間がかかるため、hexatoms氏が開発したソフトウェアがRootIQです。RootIQを使うと、ルート証明書リストに基づいて信頼する証明書を簡単に選択することができます。RootIQは無料で公開されており、ダウンロードページの「Download」ボタンからダウンロードできます。


利用規約やハードウェアの要件を確認して「Download」をクリック。


ダウンロードしたZIPファイルを解凍ソフトで展開します。


解凍したフォルダの中に入っている「RootIQ.exe」をクリックしてRootIQを起動。


まずは「Analyze」をクリックし、現在OSが信頼しているルート証明書を分析します。


分析が完了すると、OSが信頼しているルート証明書の件数が表示されます。最初はWindowsのデフォルトである332件のルート証明書が信頼されている状態です。


信頼するルート証明書の件数を制限するため、ルート証明書リストの種類を選択します。今回は「Mozilla-trusted root (2020q4)」を選択し「Select」をクリック。


リストに含まれているルート証明書が選択状態になります。


「Invert selection」をクリックし、選択している項目を反転。これでリストに「含まれていない」証明書が選択状態となります。


再び右クリックし「Distrust」で証明書を無効化。


確認のポップアップが表示されるので「はい」をクリックします。


これでリストに含まれていない証明書は信頼されなくなりました。


次にもう一度「Select」ボタンで証明書を選択して「Trust」をクリック。


「はい」をクリックすれば、すべての作業は完了です。


RootIQで無効化したルート証明書によるウェブサイトにアクセスすると、「証明書の失効」エラーが表示されアクセスができなくなっていました。厳格なルート証明書リストを適用することで、怪しいウェブサイトへのアクセスを未然に防ぎ、セキュリティを高めることができます。


なお、RootIQはルート証明書リストをそのまま適用するのではなく、リストに含まれていないながらもWindowsの通信には必要な証明書はきちんと除外してくれるので、OSの通信に障害が発生することはありません。

この記事のタイトルとURLをコピーする

・関連記事
「ネット世界の証明書の30%はLet’s Encrypt製」「3017年まで有効な証明書が1000件以上」など3億5000万件のSSL接続データセットからわかったことは? - GIGAZINE

簡単にSSL証明書を取得可能&シンプルな設定ファイルでHTTP/3も利用できるGo製ウェブサーバー「Caddy」 - GIGAZINE

ウェブを支えるHTTP通信はどのように進化しているのか - GIGAZINE

GoogleとMozillaが独裁国家の認証するルート証明書をブロックすると発表 - GIGAZINE

in Posted by log1n_yi

You can read the machine translated English article here.