Last Updated on 2024-07-01 21:54 by admin
Chromeセキュリティチームは、ユーザーのセキュリティとプライバシーを最優先に考え、Entrustの行動に関する懸念を受けて、Web PKIエコシステムの完全性を保護するための措置を講じます。
2024年10月31日以降に日付が付いたEntrustのルート証明書によって検証されるTLSサーバー認証証明書は、Chrome 127以降でデフォルトで信頼されなくなります。
Entrustは過去数年間にわたり、信頼性や誠実さを損なう行動パターンを示してきました。これに対応し、ChromeはWeb PKIエコシステムの完全性を保護するための措置を取ります。
影響を受けるウェブサイトオペレーターには、新しい公的に信頼されるCAオーナーへの移行を早急に行うことが推奨されます。2024年10月31日以降に有効期限が切れる予定の既存の証明書を持つオペレーターは、ブロックアクションが開始される前に対応が必要です。
Chrome 127以降では、企業はEntrustの制約をオーバーライドするために、対応するルートCA証明書をローカルで信頼されるルートとしてインストールできます。
Chrome 128以降では、SCTNotAfterの不信任制約の効果をシミュレートするためのコマンドラインフラグが追加されました。また、Google製品チームからのその他の更新が将来提供される可能性があります。
【編集者追記】用語解説
- TLS (Transport Layer Security):
インターネット上でデータを安全に送受信するための暗号化プロトコルです。以前はSSL (Secure Sockets Layer) と呼ばれていましたが、現在はTLSが主流となっています。 - 認証局 (CA: Certification Authority):
デジタル証明書を発行する信頼された機関です。ウェブサイトの身元を保証する役割を果たします。 - Web PKI (Public Key Infrastructure):
インターネット上で公開鍵暗号方式を使用して安全な通信を実現するための仕組み全体を指します。
【参考リンク】
Entrustオフィシャルサイト(外部)
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
GoogleのChromeセキュリティチームは、ユーザーのセキュリティとプライバシーを守るために、2024年10月31日以降に発行されたEntrustのルート証明書によって検証されるTLSサーバー認証証明書を、Chromeバージョン127以降でデフォルトで信頼しないという措置を発表しました。この決定は、Entrustが過去数年間にわたって示してきた信頼性、誠実さ、そして能力に関する懸念に基づいています。
この措置は、Webサイトとブラウザ間の暗号化された接続を確立するために重要な役割を果たす証明書発行機関(CA)に対する信頼を維持するために必要です。証明書発行機関は、インターネット上での安全な通信を保証するために、高いセキュリティ基準とコンプライアンスを維持することが期待されています。しかし、Entrustによる一連のコンプライアンス違反と改善への取り組み不足が明らかになり、Chromeはその信頼を維持することができなくなったと判断しました。
この変更により、影響を受けるウェブサイトオペレーターは、他の公的に信頼される証明書発行機関への移行を余儀なくされます。これは、訪問者が安全な接続を維持できるようにするために不可欠です。また、企業はChromeのルートストアの制約をオーバーライドするために、対応するルートCA証明書をローカルで信頼されるルートとしてインストールすることができます。
この措置は、インターネットのセキュリティとプライバシーを保護するために重要ですが、ウェブサイトオペレーターにとっては、新しい証明書への移行に伴うコストと労力が発生します。また、この変更により、証明書の管理と更新に関するプロセスがより複雑になる可能性があります。
長期的には、この措置は証明書発行機関に対する厳格な基準の遵守を促し、インターネット全体のセキュリティを強化することに貢献するでしょう。しかし、短期的には、特定の証明書に依存しているウェブサイトや企業にとっては、適応するための挑戦となる可能性があります。このような変更は、インターネットのセキュリティ基盤を維持するために必要な進化の一部であり、すべての関係者が協力して対応することが重要です。
from Sustaining Digital Certificate Security – Entrust Certificate Distrust.