モジラ製品にルート証明書を搭載するための基準の一つに、「CAブラウザフォーラムで作成されるBaseline Requirement(以下BR)に準拠していること」という項目がMozilla CA Certificate Inclusion Policy Ver2.1より記載されています。モジラではCertificate Policy V2.2を新たに公開予定ですが、その際に新たにBRで更新された項目も反映すべく議論されています。

「gTLD」の新たな動き

2008年6月にTLD(.comや.netなどのgeneric TLDの他に各国/地域に割り当てられたccTLDもある)のルールが大幅に自由化され、ICANNに対しレジストリ事業を開始する企業・団体からの一般名称・地名・文化・民族・社名などの新しいgTLDの申請の受付が開始されています。そこで問題となったのが、gTLDに登録されていない前提のもとに内部用として証明書に記載された文字列が、実はgTLDで申請されている場合です。

もしgTLDの申請がICANNで認められて登録された場合、内々でのみ利用可能と思っていた文字列が意味を持つgTLDすなわちパブリックなドメインとして認識され、MITM攻撃に使われる可能性が一気に高まります。実際に、企業においてよく使われる.localや.corpといった内部/プライベート用のTLDが今後gTLDとして登録された場合、深刻な事態を引き起こしかねません。

new gTLDによるCA業界への影響

BRの項目11.1.4のnew gTLDに関連する項目では、CAはICANNが検討中のnew gTLDを含んだ証明書を発行すべきでないとの記載があり、それを受けてモジラ製品ルート搭載メンバーに対して、BRの項目11.1.4のnew gTLDについての周知が行われました。

ICANNによって様々なnew gTLDが認められ、また審査中のnew gTLDが増えている状況に対応するべく、BRの項目11.1.4でCAが証明書発行時に留意すべき事項について記されています。モジラ製品にルート証明書を搭載している各CAは、BRに倣い証明書の発行前にnew gTLDに登録済みまたは登録予定のリストに含まれていないかどうかの確認を行い、該当した場合は証明書の発行はせず、また発行済みの証明書がnew gTLDに登録された場合は該当の証明書を失効する必要があります。

GMOグローバルサインの証明書はBRやモジラ証明書ポリシーに準拠しています

また補足ですが、GMOグローバルサインでは社内ネットワークのSSL通信を行うサーバーに対し、FQDNではない単語をサブジェクト代替名(IE表記)の欄に記載する対応を行っていましたが、BR ver1.0 項目9.2.1 Subject Alternative Name 拡張領域の記載を受け、2012年5月28日以降その対応を停止しています。※1

引き続きGMOグローバルサインでは、BRやモジラ証明書ポリシーに準拠した証明書を発行し続けていきます。

※1.「Baseline Requirements ver1.0」への対応について

トピック関連記事

#

2023年10月05日

Windows PCで証明書認証する場合のMicrosoft Entra CBAの設定方法

#

2024年03月06日

クライアント証明書認証の自動化 ~ブラウザのレジストリ設定で実現するセキュリティと効率化~

#

2024年01月24日

AWS ALBでのクライアント証明書認証の設定方法

この記事を書きました

杉野 充洋

杉野 充洋
所属:GMOグローバルサイン プロダクトマーケティング部