Trusted Design

アクセスカウンタ

zoom RSS Goolgeが不正CAの排除へ動き出す

<<   作成日時 : 2015/04/06 05:42   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

 前回の記事に引き続いて証明書関連のニュースです。今回は,Googleが中国のChina Internet Network Information Center (CNNIC) のすべての証明書を受け入れないと発表したことです。CNET Japanに記事が出ています。

 何が起きたのかというと,CNNICがルート認証機関の不正な証明書が複数発行されたという問題です。この不正な証明書はGoogleのドメインを認証しているため,Googleのサイトになりすますサイトを構築することができてしまいます。

 これは,CNNICがエジプトのMCS Holdingsという会社に中間CAから証明書を発行する権限を委譲したことが問題だったようです。MCS Holdingsは契約に反して,自社ドメインの証明書だけではなく,Googleのドメインの証明書も,この中間CAから発行してしまい,これが問題になったようです。

 認証局が証明書を発行する権限を第三者に委譲するなんて,通常は考えられないことです。認証局ホスティングサービスのように,オレオレ証明書の発行権限を与えることはよくあることかもしれませんが,全世界で通用するルート証明書に繋がっている中間CAの権限はルート認証局の権限と変わらないため,CNNICの権限を委譲しているのと等しいことになります。

 認証機関はCPS (Certification Practice State:認証業務運用規定)に従って業務を行っているはずで,今回の事件はおそらくそれに反しているのではないかと思われます。極論すれば,この認証機関は権限をすべて剥奪されるべき事態です。リンクはSymantecのCPSです。

 公開鍵認証基盤はルート認証局を無条件に信頼していることが前提の仕組みですので,ルート認証局の不正は許してはいけないのではないでしょうか。最近,このようなルート認証局に関するニュースが多いような気がします。

------
 Trusted Design

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
Goolgeが不正CAの排除へ動き出す Trusted Design/BIGLOBEウェブリブログ
文字サイズ:       閉じる