自社 Web サイトの信頼性を高め、利用者をフィッシング詐欺などに巻き込まないためにも、SSL 証明書やドメインの管理者であれば、CT(Certificate Transparency)ログモニタリングについて正しく理解しておくことが重要です。
そもそも CT とは、DigiCert や Google が提唱した SSL / TLS サーバー証明書の信頼性を高める取り組み(RFC6962)であり、公開ログサーバーにすべての SSL 証明書発行ログを蓄積することで、誤発行の検知や抑制を可能にするものです。
公開ログサーバーには、発行されたすべての証明書が登録されていますので、Web サイトの利用者が Google Chrome や Safari 、iOS アプリなどから Web サーバーにアクセスした場合に、SSL 証明書が公開ログに登録されていないと、警告やエラーが表示されます。
正確には、Web サーバーが公開ログサーバーに証明書を登録する際に返される SCT(Signed Certificate Timestamp)を利用者の Web ブラウザに返し、SCT の照合によって公開ログサーバーに登録の有無を検証しています。
ここで検証に失敗した場合は、同一のホスト名を持つ嘘の証明書(フィッシングサイト)である可能性が高いと判断できます。利用者に接続しないように注意を促すことができるとともに、 公開ログサーバーを監視することで、 嘘の証明書に関する問題を発見することができるのです。
SSL 証明書やドメインの管理者からみれば、自社のドメインに対して不正な証明書や、ポリシー外の認証局からの証明書が発行されていないかを検証することができますので、利用者がフィッシング詐欺などに巻き込まれることを防止できるわけです。
つまり、CT ログをモニタリングするこが、企業にとっては「コンプライアンスの強化」となります。
CT ログのモニタリングと関連して Web ブラウザは、認証局が発行する CRL(Certificate Revocation List / 証明書失効リスト)も利用して信用度を高めています。
Internet Explorer で Web サイトを閲覧中に、下記のようなポップアップに出くわすことがあります。
怪しげで危険な匂いがしますので通常であれば、「いいえ」を選択しますよね。このポップアップが連続して出現する Web ページもあり、たまに間違って「はい」をクリックしてしまうことがあります。内心「やばいかも」と思いますが、この「はい」と「いいえ」で何が違うのでしょうか。IE のセキュリティ警告文には、「このサイトのセキュリティ証明書の取り消し情報は、使用できません。続行しますか?」とあります。
よくよく観察すると、「はい」と「いいえ」では、Web ページ画面脇(その時は右側でした)にある広告が「はい」だと表示され、「いいえ」だと表示されませんでした。この動きは CRL(Certificate Revocation List / 証明書失効リスト)に起因しています。
Web ブラウザは、SSL 証明書が有効かどうかを確認するために、認証局が定期的に発行する CRL を利用しています。その確認方法は、下記の 2 種類あるのですが、CRL ファイルは容量が大きく、ダウンロードするのが大変なため、OCSP(Online Certificate Status Protocol) による有効性の確認が一般的になっています。
- CRL(証明書失効リスト) ファイルをダウンロードし、ローカルで証明書のシリアル番号と CRL に登録された証明書のシリアル番号を比較する方法
- OCSP リアルタイムに認証局に問い合わせる方法
この最新の CRL が取得できない場合や、OCSP によるリアルタイムでの確認で、証明書が有効であるかどうかを確認できない場合、保護されない通信となり、ポップアップが出ます。
■ CRL の取得方法
認証局から発行される CRL をダウンロードし、クライアント上で該当する証明書の情報を確認します。
■ OCSP での確認方法
OCSP レスポンダと呼ばれるサーバーが仲介することで、クライアントは必要な情報を OCSP レスポンダに問い合わせることで入手できます。
Google Chrome では、2018 年 7 月の Chrome 68 以降、SSL 証明書が適用されていない Web サイトに対しては、「保護されていません」という警告文が出されるようになったのを皮切りに、Chrome 79 では、TSL 1.2 に未対応なサイトが警告対象となり、混合コンテンツを順次デフォルトでブロックする方針が決定されました。
Chrome 80 では、音声、動画の HTTP ソースを HTTPS 接続へ強制的に変更し、HTTPS 読み込み未設定のコンテンツはブロックされます。最終的に、2020 年 2 月リリース予定の Chrome 81 では、HTTPS 接続で読み込みに失敗したコンテンツはすべてブロックされ、画像コンテンツは HTTPS 接続に強制的に変更されます。
ブラウザベンダーや認証局は、常時 SSL 化や上記のような方法を用いて、インターネット利用者の安全性を確保するための変更を逐次おこなっています。利用者、特に SSL 証明書やドメインの管理者は、その変化を理解して安全なインターネットライフを提供し、楽しむ必要があります。
ここでご紹介した CT(Certificate Transparency)ログモニタリングは、手動で管理するには工数がかかりますが、DigiCert 社のグローバル・サーバ ID もしくはグローバル・サーバ ID EV を使用すると、CertCentral の機能の一部として、無償で CT ログ管理ツールが利用できますので、活用してみるのも良いでしょう。
SSL 証明書につきましては、コラム第 52 回、第 56 回および Web サイトなどもご参照ください。
また、気になる情報が入りましたら、この場でご紹介いたします。
by プロダクト&サービス統括部 コンサルティンググループ グループリーダー 井上 周洋
