1. Symantec/
  2. SSL情報センター/
  3. Certificate Transparency(証明書の透明性)
  • ブックマーク

Certificate Transparency(証明書の透明性)

Certificate Transparency
(証明書の透明性)

2016年5月20日よりChromeにて警告やエラーメッセージが出る恐れがあるお客様に対して、それを防ぐためにホワイトリスト化という手法についてシマンテックよりご連絡差し上げています。

[FAQ]CTの利用に関するホワイトリスト登録について:
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=INFO3678

Certificate Transparencyとは?

Certificate Transparency(以下「CT」)とは、SSL/TLSの信頼性を高めるための新たな技術で、Google社により提唱されました。現在はRFC6962としてRFC化され、証明書の誤発行を防ぐ新たな技術として注目されています。

CTは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。主に、ウェブサイトの運営者やドメイン名の管理者が、その監査ログサーバ(以下「ログ))を確認することで、自分のドメインに対して不正な証明書や、ポリシー外の認証局からの証明書が発行されていないかを検証することができます。それにより利用者が不正に発行された証明書を信頼することを防止します。

CTはあくまで証明書の信頼性を高めるための追加の仕組みであり、これまでの証明書の検証の仕組みが無くなるわけではありません。

Certificate Transparencyの基本的な仕組みCertificate Transparencyの基本的な仕組み

ログに証明書を提供すると、ログからはSigned Certificate Timestamp(SCT)と呼ばれるデータが返されます。SCTは、ログが特定の時間内(「Maximum Merge Delay (MMD)」と呼ばれます)に証明書データが格納されたことを保証するタイムスタンプ情報です。ウェブサーバなどのTLSサーバはログから取得したSCTを、証明書と一緒にブラウザなどのTLSクライアントに提示しなければいけません。TLSクライアントは、証明書とSCTを使って、ログの中にその証明書のデータが登録されているかどうかを確認することができます。

ウェブサイト利用者に対するCTによる影響

Google Chromeには既にCTの検証機能が導入されており、SSLサーバ証明書がCTに準拠している(=Proofが登録されている)かどうかを表示できます。ログにProofが登録されていない証明書の情報を表示すると、「公開監査記録がありません」と表示されます。Proofが登録されている証明書であれば、登録されている情報を見ることができます。

公開監査記録がありません

CTのロードマップ

今後のGoogle ChromeにおけるCT対応のロードマップについてGoogle社は以下のようにアナウンスしています※1

  • 2015年1月を超える有効期限を持つ(発行済みも含めた)すべてのEV SSL証明書の情報は、ホワイトリストとして少なくとも1つのログに登録される必要がある
  • Google社は2015年1月1日に、発行済みでSCTが組み込まれていないEV SSL証明書のホワイトリストを作成する
  • 2015年2月1日以降、Chromeは、上記ホワイトリストに登録されておらず、かつCTに適応していないEV SSL証明書については、EV SSL証明書固有の表示をしない(グリーンバーや組織名が表示されない)
    追記:2015年3月30日時点、以下の条件にてGoogle Chrome での表示はEV SSL証明書固有のグリーンバーの表示(組織名の表示)はなく、通常のSSLサーバ証明書(非EV SSL証明書)と同様になることを確認しています。他のブラウザではEV SSL証明書固有の表示となっています。
    条件1:2015年1月1日以降に発行
    条件2:CTに非対応
    条件3:Google Chrome 41以降
    https://www.jp.websecurity.symantec.com/
    Google ChromeでのEV SSL証明書グリーンバー表示例
    https://jp-businessstore.symantec.com/qq2/symantec/
    Google Chromeでの通常の SSL証明書の表示例

このため、EV SSL証明書のグリーンバーや組織名の表示を継続するための対策が必要になります。

なお、シマンテック企業認証型(OV)証明書を含む全てのシマンテックの証明書について、ログサーバに登録がないサーバ証明書については、Chrome 上でセキュリティ警告もしくは信頼性の警告を表示することをアナウンスしております。

シマンテックグループではCTに準拠するために、SSLサーバ証明書の申請時に、CTに準拠した証明書を発行する(=Proofを登録する)ための機能を、2014年より順次(※2, 3提供しております。

※2 : シマンテック ストアフロント : EV SSL証明書は2014年12月、企業認証型(OV)証明書へは2016年3月より提供
※3 : シマンテック マネージドPKI for SSL : EV SSL証明書は2014年12月、企業認証型(OV)証明書へは2015年8月より提供

よくあるご質問

Q: CTに対応しなかったらどうなるのでしょうか?

A: CT対応しなかった場合、Google ChromeでEV SSL証明書では2015年2月以降グリーンバーが表示されなくなり、OV SSL証明書では2016年6月以降警告が表示されます。

Q: ログにはどのような情報が掲載されるのでしょうか?

A: CT対応が開始されると、お客様の証明書の情報がログに掲載されます。これらの情報は証明書の詳細情報に記載されているものであり、公開されているウェブサーバーでしたら、外部から誰でも確認できるものです。
しかし、イントラネットで利用される証明書の情報まで公開されてしまうと、セキュリティのリスクが高まります。そのためSSLサーバ証明書発行時にドメイン名情報の一部を非公開とする「Name Redaction」へのサポートをシマンテックでは行っています。Name Redactionに関しての詳細はこちらをご確認ください。

Q: CTについてもっと知るには?

A: 以下のサイトで詳細な仕組みが公開されています(英語)。
http://www.certificate-transparency.org/

お問い合わせ

SSL 製品ご購入のお問合
わせ

0120-707-637
月~金 9:30~17:30
祝日、年末年始の休業期間除く

申請・技術的なお問合わせ

お問い合わせフォーム

SSL関連情報はこちら 購入方法やSHA-2対応など様々な情報をご覧頂けます
SSLの製品/価格比較
SSLの解説資料 技術資料やカタログ、無料セミナー情報
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube