ロシアが自国のウェブサイトの信頼を独自に担保するTLS認証局を設置

ウクライナ侵攻を続けるロシアに対して各国政府や民間企業が数多くの制裁措置を発表しており、ロシアでシェア1位と2位のインターネットプロバイダーが相次いでサービス停止を発表するなどインターネット環境にも影響が出始めています。制裁の影響でロシアではデジタル証明書が更新不能になる事態が発生しており、この問題を解決するべくロシア独自のTLS認証局が開設されました。既に独自認証局による認証済みのウェブサイトが複数登場しており、ロシアによる通信の傍受が懸念されています。

Russia creates its own TLS certificate authority to bypass sanctions
https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-bypass-sanctions/

現代のインターネットでは、多くのウェブサイトがSSLやTLSといった暗号化方式を用いて通信を暗号化しており、ウェブサイトの運営者は暗号通信を可能とするために認証局からデジタル証明書の発行を受けています。このデジタル証明書は定期的に更新する必要がありますが、ロシアはインターネット関連の制裁を数多く受けており、数多くのウェブサイトでデジタル証明書が更新不能状態に陥っています。

Microsoft Edge・Google Chrome・Firefoxといった現代のブラウザでデジタル証明書が正しく更新されていないウェブサイトにアクセスすると、「セキュリティ上の問題」の警告画面が表示されてしまいます。

上記の問題を解決するべく、ロシアの公共サービスプラットフォーム「Gosuslugi」が独自認証局の開設を発表しました。海外メディアのBleepingComputerによると、ロシア独自の証明書は2022年3月10日の時点でロシア貯蓄銀行・VTB・ロシア連邦中央銀行などのウェブサイトで実際に使われているとのことです。

一般的に、新たな認証局が信頼を獲得するには長い時間が必要とされています。しかし、すでにYandexなどのロシア企業の製品はロシアの独自認証局を「信頼できる認証局」として扱っているとのこと。

BleepingComputerは「ロシアが独自に発行したデジタル証明書を悪用して、暗号化された通信の傍受や中間者攻撃を実行する可能性があります」と指摘。一方で「現時点でロシアは全く信頼されていないため、主要なブラウザがロシアの独自認証局の証明書を許可リストに追加する可能性は低いです」とも述べています。