Certificate Transparency
(証明書の透明性)

Certificate Transparencyとは?

Certificate Transparency(以下「CT」)とは、SSL/TLSの信頼性を高めるための新たな技術で、Google社により提唱されました。現在はRFC6962としてRFC化され、証明書の誤発行を防ぐ新たな技術として注目されています。

CTは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。主に、ウェブサイトの運営者やドメイン名の管理者が、その監査ログサーバ(以下「ログ))を確認することで、自分のドメインに対して不正な証明書や、ポリシー外の認証局からの証明書が発行されていないかを検証することができます。それにより利用者が不正に発行された証明書を信頼することを防止します。

CTはあくまで証明書の信頼性を高めるための追加の仕組みであり、これまでの証明書の検証の仕組みが無くなるわけではありません。

Certificate Transparencyの基本的な仕組み

ログに証明書を提供すると、ログからはSigned Certificate Timestamp(SCT)と呼ばれるデータが返されます。SCTは、ログが特定の時間内(「Maximum Merge Delay (MMD)」と呼ばれます)に証明書データが格納されたことを保証するタイムスタンプ情報です。ウェブサーバなどのTLSサーバはログから取得したSCTを、証明書と一緒にブラウザなどのTLSクライアントに提示しなければいけません。TLSクライアントは、証明書とSCTを使って、ログの中にその証明書のデータが登録されているかどうかを確認することができます。

ウェブサイト利用者に対するCTによる影響

Google Chromeには既にCTの検証機能が導入されており、SSLサーバ証明書がCTに準拠している(=Proofが登録されている)かどうかを確認する仕様となっています。ログにProofが登録されていない証明書が利用されているウェブサイトにアクセスすると「保護されていない通信」の警告が表示されます。

公開監査記録がありません

よくあるご質問

Q: CTに対応しなかったらどうなるのでしょうか?

A: CT対応しなかった場合、Google ChromeやSafariブラウザを利用してサーバ証明書がインストールされたウェブサイトへアクセスしたユーザには警告が表示されます。

Q: ログにはどのような情報が掲載されるのでしょうか?

A: CT対応が開始されると、お客様の証明書の情報がログに掲載されます。これらの情報は証明書の詳細情報に記載されているものであり、公開されているウェブサーバーでしたら、外部から誰でも確認できるものです。

Q: CTについてもっと知るには?

A: 以下のサイトで詳細な仕組みが公開されています(英語)。
http://www.certificate-transparency.org

基本から学ぶSSL

SSL/TLSサーバ証明書とは

オンラインの情報を保護し、Web サイトの信頼性を高める SSL サーバ証明書。「SSLとは?」「なぜSSLが必要なのか」「SSLの種類」「SSLがどのように機能するのか」をわかりやすく説明します。

 

鍵