2017年10月12日 05時00分 公開
特集/連載

Chromeが中国の認証局WoSign証明書を無効化、Googleが不信感を持つ理由とは他のWebブラウザも同様の措置

「Google Chrome」は、中国の認証局WoSignが発行した証明書を信頼できる証明書としては扱わない方針にした。この決定に至ったいきさつと、WoSign認証局の証明書を使用中のユーザー企業が取るべき対策を解説する。

[Matthew Pascucci,TechTarget]
画像 その証明書では通れません。

 Googleは「Chrome 61」以降で、中国の認証局WoSignおよびその子会社StartComが発行した証明書を無効とする方針だ。Googleはこの1年間、StartComとWoSignによる証明書の無効化を段階的に進めてきたが、2017年9月、これらの証明書を全て無効にすると発表した。

 認証局の事業は、ブラウザに認めてもらわないことには成り立たない。Chromeをはじめとする各種ブラウザから信頼を取り消され、WoSignは存続の危機に直面している。

WoSignを巡る動き

 WoSignが発行した証明書の扱いを見直し、段階的に信頼を取り消したり、無効化を進めたりしている主要WebブラウザはGoogle Chromeだけではない。MicrosoftやMozilla、Appleも、「容認できないセキュリティ慣行が続いている」との理由から、WoSignが発行した証明書に対し、Googleと同様の措置を講じている。今のところ主要ブラウザでは唯一、ノルウェーのソフトウェア開発会社Opera Softwareのブラウザ「Opera」だけがWoSignの証明書に対して何ら対策を講じていない。ただしOpera Softwareは2016年、中国企業の投資コンソーシアムGolden Brick Silk Roadが買収した。そのため恐らくだが、安全だから対策を講じていないというわけではないだろう。

 主要WebブラウザがWoSignの証明書に対して不信感を抱くのには多くの理由がある。WoSignが発行した証明書を巡っては、使用の廃止が決まっているハッシュ関数「SHA-1」を使った証明書の日付を意図的に古く偽装する、発効日を示す「NotBefore」以外の部分が全て同じ内容の証明書が見つかる、通し番号が重複する証明書が複数存在するなど、さまざまな問題が明らかになっている。

 Googleがこうした問題への対処に苦慮する中、WoSignは2016年10月に報告書を公表、一連の問題について詳細を説明した。

ユーザーへの影響は?

ITmedia マーケティング新着記事

news061.jpg

インフルエンサーがスポーツ観戦で最も利用しているSNSは「Instagram」――LIDDELL調べ
東京五輪の開催中に情報収集や投稿でSNSを活用すると回答した人は全体の96.9%に上りまし...

news031.jpg

ライブコマースを今始めるべき理由と成功するためのポイント 17LIVEのCEOに聞く
オンラインでのショッピング体験の充実がコロナ禍の課題となっている。新たな手法として...

news148.jpg

ミレニアル世代とZ世代 日本では5割超が経済見通しを悲観――デロイト トーマツ調査
ミレニアル世代とZ世代では組織で成功するスキルとして「柔軟性・適応性」を挙げた人が最...