Google Chromeの対応方針

Googleは今年2月、SSL発行などを行う各CAベンダー(認証局)に向けて送信したメールの中で、2018年4月30日以降に発行された証明書については、Certificate Transparency(以下:CT)への対応要件を満たすことを必須にすると正式に通達しました。

GoogleはCertificate Transparency in Chromeの中で、「CTへの対応要件」について、以下のいずれかを満たすよう定めています。

  1. SCT※1をTLS※2拡張あるいはOCSPステイプリング※3によって配布する場合、SCTのうち少なくとも1つはチェック時点で有効なGoogle Logから提供されたものであり、かつ、少なくとも1つはチェック時点で有効なGoogle以外のLogから提供されたものであること
     

    ※1 SCT(Signed Certificate Timestamp):署名付き証明書のタイムスタンプ
    ※2 TLS(Transport Layer Security):SSLと同様、インターネット上でデータを暗号化して送受信するためのプロトコル
    ※3 OCSP(Online Certificate Status Protocol)ステイプリング:電子証明書の失効状態を確認するための通信プロトコルであるOCSPの拡張機能の一つ。Webサーバが自らの証明書のステータスをOCSPレスポンダに問い合わせ、その結果をレスポンスの有効期間中保持する

  2. SCTを証明書に埋め込んで配布する場合、SCTの少なくとも1つが証明書発行時点で有効なGoogle Logから提供されたものであり、かつ、少なくとも1つが証明書発行時点で有効なGoogle以外のLogから提供されたものであり、かつ、少なくとも以下の表で示された数の、発行時点で有効なLogから提供されたSCTが埋め込まれていること
証明書の有効期間 異なるLogから取得したSCTの数
< 15 months 2
>= 15, <= 27 months 3
> 27, <= 39 months 4
> 39 months 5

『GitHub』より引用
URL : https://github.com/chromium/ct-policy/blob/master/ct_policy.md

Googleはその通達の中で、2018年4月30日以降にChromeが上記の要件に合致にしない証明書を使用しているサイトに接続した場合、全画面で「CTポリシーに準拠していない旨のワーニング(警告)メッセージが表示されるようになる」としています。 Chromeに対する上記の実装は、macOS, Windows, Linux, そしてChrome OSプラットフォームのデスクトップ版Chromeから順次実装されるとのことです。

その他ベンダーの対応方針

Chrome以外の主なブラウザベンダーのCTへの現在の対応状況については、以下の通りとなっています。

Mozilla

CTに対応することについては決定済みだが、現在実装方法の検討を行っている段階。 実装時期についても未定。

Microsoft

CTへの対応を検討しているが、対応するかどうかも含めて未定。

Apple

CT対応ポリシーを策定中。ほぼGoogleと同じものになる予定。

弊社の対応について

弊社の発行するSSL/TLS証明書については、すでに上記Googleのポリシーに準拠する形でのCTへの対応を完了しております。

トピック関連記事

#

2015年05月26日

注目の集まるSNI導入の必要性とは

#

2017年08月30日

CAA (Certificate Authority Authorization)について

#

2016年08月22日

「盗聴や改ざん」は他人事ではない!中間者攻撃とは何か理解してその対策をたてよう

この記事を書きました

浅野 昌和

浅野 昌和
所属:GMOグローバルサイン グループ技術開発本部