Last Updated on 2024-07-01 21:47 by admin
Googleは、2024年11月1日頃からChromeブラウザでEntrustから発行された証明書を使用するウェブサイトをブロックすると発表した。
これは、Entrustがセキュリティ問題に対処するのに適切な対応を示せなかったことと、コンプライアンス違反が理由である。(※編集者追記で解説)
GoogleのChromeセキュリティチームは、過去数年に公開されたインシデントレポートがEntrustの行動に関して懸念を示し、その信頼性と整合性に疑問を投げかけたと述べた。
その結果、Chromeのバージョン127以降では、デフォルトでEntrustからのTLSサーバー認証証明書を信頼しないことになる。ただし、Chromeユーザーや企業顧客は、この設定を上書きすることが可能である。
このブロック措置は、Windows、macOS、ChromeOS、Android、Linuxの各バージョンのブラウザに適用される。
ただし、AppleのポリシーによりChrome Root Storeが使用できないため、iOSとiPadOSのChromeでは例外となる。EntrustまたはAffirmTrustによって発行された証明書を使用するウェブサイトにアクセスするユーザーは、接続が安全でないことを警告する中間メッセージが表示される。
影響を受けるウェブサイト運営者は、2024年10月31日までに公に信頼される証明書機関へ移行することで、中断を最小限に抑えるよう促されている。
Entrustのウェブサイトによると、そのソリューションはMicrosoft、Mastercard、VISA、VMwareなどに使用されている。
Googleは、ウェブサイト運営者がChromeのブロック措置が始まる2024年11月1日前にEntrustから新しいTLS証明書を収集・インストールすることで影響を遅らせることができるが、最終的にはChrome Root Storeに含まれる多くの他のCAから新しいTLS証明書を収集・インストールする必要があると述べた。
【編集者追記】用語解説
- ルートストア(Root Store):
ブラウザやオペレーティングシステムに予め組み込まれている、信頼できる認証局の一覧です。これにより、ブラウザは安全なウェブサイトを識別できます。 - TLS/SSL証明書:
Transport Layer Security/Secure Sockets Layerの略で、ウェブサイトとブラウザ間の通信を暗号化し、安全なデータ転送を可能にする技術です。 - コンプライアンス違反:
法律、規則、基準、または内部方針に従わない行為を指します。この場合、Entrustが業界で定められた証明書発行の基準を守らなかったことを意味します。 - Chrome Root Program:
Googleが運営する、Chromeブラウザで信頼される認証局を管理するプログラムです。
【編集者追記】Entrustとは?どんな不手際があったのか?
Entrustは、1969年設立のデジタルIDと情報セキュリティのグローバルリーダー企業です。
世界150カ国以上で事業を展開し、SSL/TLS証明書やデジタル署名など、多くの大手企業や政府機関向けにセキュリティソリューションを提供しています。
しかし近年、Entrustのセキュリティ管理とコンプライアンスに関して深刻な問題が浮上しています。
過去6年間で複数のセキュリティインシデントが報告され、証明書の誤発行や業界基準の不遵守などが指摘されています。
特に、EVガイドラインの誤解による証明書誤発行とその後の不適切な対応が問題視されています。(※約26,000件のEV(Extended Validation)証明書が影響を受け、短期間での失効と再発行が必要になりました。これは多くの組織に運用上の課題をもたらしました。)
Entrustは、これらの問題に対して適切に対応できませんでした。インシデント発生後の初期対応が不適切で、是正措置の実施が遅れ、過去に約束した改善策も十分に実行されませんでした
また、MozillaとGoogleなど異なるブラウザベンダーに対して一貫性のない対応をしていました。これらの問題により、Entrustの信頼性が大きく損なわれ、GoogleはChrome 127(2024年11月リリース予定)以降、Entrustの証明書を信頼しないと発表しました。
デジタルセキュリティ業界のリーダーとして期待される高い基準を満たせていないEntrustには、今後、透明性の向上、迅速なインシデント対応、約束した改善策の確実な実施が求められています。
【参考リンク】
Entrustオフィシャルサイト(外部)
“Sustaining Digital Certificate Security – Entrust Certificate Distrust” by Google Security Blog”(外部)
※Googleによる公式の発表内容
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
Googleが2024年11月1日から、ChromeブラウザでEntrustから発行された証明書を使用するウェブサイトをブロックすると発表しました。この決定は、Entrustがセキュリティ問題に対して適切な対応を示せず、コンプライアンス違反があったためとされています。この措置は、Windows、macOS、ChromeOS、Android、Linuxの各バージョンのChromeに適用されますが、iOSとiPadOSのChromeではAppleのポリシーにより適用されません。
この動きは、インターネットのセキュリティ基盤にとって重要な意味を持ちます。証明書は、ウェブサイトとその訪問者との間の通信が安全であることを保証するために使用されます。証明書が信頼できない発行元から来ている場合、その安全性は保証されません。Googleのこの決定は、証明書発行機関に対する信頼性とセキュリティ基準の維持がいかに重要かを示しています。
この措置により、Entrustの証明書を使用しているウェブサイト運営者は、他の公に信頼される証明書機関から新しいTLS証明書を取得する必要があります。これは、特に大手企業や金融機関など、セキュリティが極めて重要な組織にとっては、大きな変更を意味します。また、この変更は、ウェブサイトの訪問者にとっても、より安全なインターネット環境を提供することに繋がります。
しかし、このような変更にはリスクも伴います。例えば、ウェブサイト運営者が新しい証明書の取得を遅らせた場合、訪問者は接続が安全でないと警告される可能性があります。これは、訪問者の信頼を損ない、トラフィックの減少やビジネスへの影響を引き起こす可能性があります。
また、この決定は、証明書発行機関に対する規制や監視の強化を促す可能性があります。証明書発行機関がセキュリティ基準を満たしていないことが明らかになれば、その信頼性は大きく損なわれます。そのため、証明書発行機関は、より厳格なセキュリティ対策と透明性の高い運営を求められることになるでしょう。
長期的には、このような措置がインターネット全体のセキュリティ基準を向上させることが期待されます。証明書発行機関が高いセキュリティ基準を維持することで、ウェブサイトとその訪問者の間の通信がより安全になり、サイバー攻撃のリスクが減少します。この動きは、インターネットの安全性を確保するための重要な一歩と言えるでしょう。
from Google to Block Entrust Certificates in Chrome Starting November 2024.
