2017年10月12日 05時00分 公開
特集/連載

他のWebブラウザも同様の措置Chromeが中国の認証局WoSign証明書を無効化、Googleが不信感を持つ理由とは

「Google Chrome」は、中国の認証局WoSignが発行した証明書を信頼できる証明書としては扱わない方針にした。この決定に至ったいきさつと、WoSign認証局の証明書を使用中のユーザー企業が取るべき対策を解説する。

[Matthew Pascucci,TechTarget]
画像 その証明書では通れません。

 Googleは「Chrome 61」以降で、中国の認証局WoSignおよびその子会社StartComが発行した証明書を無効とする方針だ。Googleはこの1年間、StartComとWoSignによる証明書の無効化を段階的に進めてきたが、2017年9月、これらの証明書を全て無効にすると発表した。

 認証局の事業は、ブラウザに認めてもらわないことには成り立たない。Chromeをはじめとする各種ブラウザから信頼を取り消され、WoSignは存続の危機に直面している。

WoSignを巡る動き

 WoSignが発行した証明書の扱いを見直し、段階的に信頼を取り消したり、無効化を進めたりしている主要WebブラウザはGoogle Chromeだけではない。MicrosoftやMozilla、Appleも、「容認できないセキュリティ慣行が続いている」との理由から、WoSignが発行した証明書に対し、Googleと同様の措置を講じている。今のところ主要ブラウザでは唯一、ノルウェーのソフトウェア開発会社Opera Softwareのブラウザ「Opera」だけがWoSignの証明書に対して何ら対策を講じていない。ただしOpera Softwareは2016年、中国企業の投資コンソーシアムGolden Brick Silk Roadが買収した。そのため恐らくだが、安全だから対策を講じていないというわけではないだろう。

 主要WebブラウザがWoSignの証明書に対して不信感を抱くのには多くの理由がある。WoSignが発行した証明書を巡っては、使用の廃止が決まっているハッシュ関数「SHA-1」を使った証明書の日付を意図的に古く偽装する、発効日を示す「NotBefore」以外の部分が全て同じ内容の証明書が見つかる、通し番号が重複する証明書が複数存在するなど、さまざまな問題が明らかになっている。

 Googleがこうした問題への対処に苦慮する中、WoSignは2016年10月に報告書を公表、一連の問題について詳細を説明した。

ユーザーへの影響は?

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news058.jpg

訪日外国人観光客は結局、何を求めて日本にやって来るのか
「見にきてもらう」から「参加してもらう」へ。訪日外国人と浅草の関係は少しずつ変わり...

news022.jpg

「新品購入前に売値をチェック」「掘り出し物探しを楽しむ」、フリマアプリ利用者の生態とは──メルカリ調査
メルカリの調査によると、フリマアプリ利用者の半数以上が新品購入前にアプリで売値をチ...

news088.jpg

ホットリンク子会社のトレンドExpressが越境ECサービス「越境EC X」を提供
トレンドExpressは、越境ECサービス「越境EC X(クロス)」の販売を開始した。販売だけで...