Trusted Design

アクセスカウンタ

zoom RSS 公開鍵認証基盤の危機

<<   作成日時 : 2015/04/05 06:30   >>

ブログ気持玉 0 / トラックバック 1 / コメント 0

 VerisignGlobalSignなどの認証局事業者(ルート認証局)が発行している,SSL証明書について,証明書の発行プロセス自体に問題があるのではないかという指摘が,米CERT/CCなどのセキュリティ期間から出ています。今までも,SSL証明書の不正取得は問題になることがありました。今回は,発行のプロセス自体を問題視されているので,ちょっと厄介なことになるかもしれません。

 ITMediaに紹介記事が出ています。JPCERT/CCの記事はこちらです。

 SSL証明書を申し込むと,申し込んだ人が申し込んだ会社にちゃんと所属している人なのかをルート認証局が審査します。具体的には,ルート認証局が会社の登記情報を確認し,その会社に電話をして,申し込んだ人が所属していることを確認するなどの処理を行います。これにより「企業認証型」の証明書が発行されます。

 この処理を実行すると,2週間くらいかかってしまうことがあります。ルート認証局にとっても,証明書を購入する人にとっても,結構面倒なプロセスです。

 それを簡易化するために,申し込んだ人がドメインの所有者であれば,そのドメインの証明書を発行してしまうサービスが出てきました。これが「ドメイン認証型」の証明書です。発行プロセスは簡易な分,ルート認証局による審査は十分ではありません。

 今回CERT/CCが問題にしているのは,この「ドメイン認証型」の証明書の発行プロセスです。ドメインの所有者を確認するために,「そのドメインの管理者メールアドレスを保有していること」を条件にしていますが,その条件が緩いケースがあるということです。

 そうなると,その緩い条件を駆使して,「ドメイン認証型」の証明書を「正式に」取得することができてしまいます。先日,レノボのプレインストールソフトSuperfisiの騒動があった通り,信頼されたルート証明機関が発行した証明書は,そのPCで信頼されてしまいます。

 不正に「正式な」証明書を取得できてしまうと,現在の公開鍵認証基盤の基盤そのものが安全でないことになってしまい,SSL通信の安全性を確保できない事態になってしまいます。

 それならば,「ドメイン認証型」の証明書を発行できなくすれば良い! という解決策が思い浮かびます。ところが,SSL証明書の中で,審査が簡易なドメイン認証型の証明書が一番安く発行できるのです。正しいユーザにとっては,証明書が不正発行されてしまうリスクがあるため,証明書の価格を上げて,手続きを面倒にします。というのは受け入れにくい提案です。一方のルート認証局にとっては,単価を上げるチャンス?なのかも。

 この騒動,どんな風な結末になるのか,ウォッチしていきたいです。

------
 Trusted Design

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(1件)

タイトル (本文) ブログ名/日時
Goolgeが不正CAの排除へ動き出す
 前回の記事に引き続いて証明書関連のニュースです。今回は,Googleが中国のChina Internet Network Information Center (CNNIC) のすべての証明書を受け入れないと発表したことです。CNET Japanに記事が出ています。 ...続きを見る
Trusted Design
2015/04/06 05:42

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
公開鍵認証基盤の危機 Trusted Design/BIGLOBEウェブリブログ
文字サイズ:       閉じる