モジラ製品にルート証明書を搭載するための基準の一つに、「CAブラウザフォーラムで作成されるBaseline Requirement(以下BR)に準拠していること」という項目がMozilla CA Certificate Inclusion Policy Ver2.1より記載されています。モジラではCertificate Policy V2.2を新たに公開予定ですが、その際に新たにBRで更新された項目も反映すべく議論されています。

「gTLD」の新たな動き

2008年6月にTLD(.comや.netなどのgeneric TLDの他に各国/地域に割り当てられたccTLDもある)のルールが大幅に自由化され、ICANNに対しレジストリ事業を開始する企業・団体からの一般名称・地名・文化・民族・社名などの新しいgTLDの申請の受付が開始されています。そこで問題となったのが、gTLDに登録されていない前提のもとに内部用として証明書に記載された文字列が、実はgTLDで申請されている場合です。

もしgTLDの申請がICANNで認められて登録された場合、内々でのみ利用可能と思っていた文字列が意味を持つgTLDすなわちパブリックなドメインとして認識され、MITM攻撃に使われる可能性が一気に高まります。実際に、企業においてよく使われる.localや.corpといった内部/プライベート用のTLDが今後gTLDとして登録された場合、深刻な事態を引き起こしかねません。

new gTLDによるCA業界への影響

BRの項目11.1.4のnew gTLDに関連する項目では、CAはICANNが検討中のnew gTLDを含んだ証明書を発行すべきでないとの記載があり、それを受けてモジラ製品ルート搭載メンバーに対して、BRの項目11.1.4のnew gTLDについての周知が行われました。

ICANNによって様々なnew gTLDが認められ、また審査中のnew gTLDが増えている状況に対応するべく、BRの項目11.1.4でCAが証明書発行時に留意すべき事項について記されています。モジラ製品にルート証明書を搭載している各CAは、BRに倣い証明書の発行前にnew gTLDに登録済みまたは登録予定のリストに含まれていないかどうかの確認を行い、該当した場合は証明書の発行はせず、また発行済みの証明書がnew gTLDに登録された場合は該当の証明書を失効する必要があります。

GMOグローバルサインの証明書はBRやモジラ証明書ポリシーに準拠しています

また補足ですが、GMOグローバルサインでは社内ネットワークのSSL通信を行うサーバーに対し、FQDNではない単語をサブジェクト代替名(IE表記)の欄に記載する対応を行っていましたが、BR ver1.0 項目9.2.1 Subject Alternative Name 拡張領域の記載を受け、2012年5月28日以降その対応を停止しています。※1

引き続きGMOグローバルサインでは、BRやモジラ証明書ポリシーに準拠した証明書を発行し続けていきます。

※1.「Baseline Requirements ver1.0」への対応について

トピック関連記事

#

2015年06月16日

増え続けるウェブサービス 新規顧客獲得のカギは?-シングルサインオン(SSO)導入でワンクリックログオン-

#

2017年03月01日

ID・パスワード管理の実状 - IPAの「情報セキュリティに対する意識調査」を読み解く

#

2019年06月04日

CA/Browser Forum 2018年の主な出来事とSSLの今後の焦点

この記事を書きました

杉野 充洋

杉野 充洋
所属:GMOグローバルサイン プロダクトマーケティング部