出典: Qubix Studio via Shutterstock
Google Chromeブラウザは、証明書機関(CAs)の信頼性の喪失を理由に、Chunghwa TelecomとNetlockのデジタル証明書をデフォルトで信頼しなくなります。
この変更は、最近のGoogleセキュリティブログの投稿によれば、次の主要なブラウザビルドであるChrome 139のリリースとともに有効になります。
この措置は8月1日からChrome Root Storeによって実施されます。このストアは、会社が維持し、ChromeがHTTPSを介した安全な接続を検証するために使用する信頼された証明書機関のリストです。Chrome 139は8月5日に安定版リリースが予定されています。
「過去1年間に観察された懸念される行動パターンにより、Chrome Root Storeに含まれるCA所有者としてのChunghwa TelecomとNetlockの信頼性に対するChromeの信頼が低下しました」と投稿には書かれています。「これらのパターンは信頼性の喪失を表しており、期待に応えられず、Chromeでデフォルトで信頼される公開信頼された証明書発行者としてのこれらのCA所有者への信頼を損なっています。」
Googleの措置は、これらの機関からの証明書でレンダリングされたWebページがユーザーに完全に表示されなくなることを意味するわけではありませんが、ブラウジング体験を妨げます。ユーザーがこれらの機関のいずれかの証明書を使用するページに移動すると、最初に中間ページが表示され、接続が安全でないことが通知されます。この警告を無視してページを表示するには、ユーザーがそれを上書きするボタンをクリックする必要があります。
関連:LummaC2が崩壊、Acreedマルウェアがトップに
CAの期待に応えられない一貫した失敗
Chunghwaは台湾最大の通信ネットワーク運営者であり、ePKIとHiPKIという公共のCAを運営しています。ハンガリーに拠点を置くNetlockは、デジタル認証サービスの提供者であり、自国および他のヨーロッパ諸国で使用されています。
Googleが証明書をブロックするという決定は、ChunghwaとNetlockの両方がChrome Root Program Policyの原則を損なう行動を数ヶ月、さらには数年間にわたって行ってきた後に行われました。このポリシーは、CA証明書が「継続的な含有のリスクを超える価値をChromeのエンドユーザーに提供しなければならない」と述べています。この動きは、昨年11月にGoogleが同様の理由で実施したEntrustからの証明書のブロックに続くものです。
「問題が発生した場合、CA所有者が意味のある、実証可能な変化を約束し、継続的な改善を証明することを期待しています」と会社は述べています。
この2つの機関は、コンプライアンスの失敗を改善し、望ましい改善を行うことに失敗し、過去数ヶ月および数年間にわたって一貫して公開されたインシデントレポートに対する「測定可能な進展」を達成できず、信頼を失いましたとGoogleは述べています。
しかし、会社はChunghwaやNetlockがどのような不正行動を行ったのか具体的には言及しておらず、CAが提供する暗号化されたインターネット接続を保護する「特権的で信頼された役割」を果たすことに失敗しただけだと述べています。
スコッツデール、アリゾナ州に拠点を置く包括的な証明書ライフサイクル管理(CLM)プロバイダーであるSectigoのシニアフェロー、ジェイソン・ソロコ氏は、CA/ブラウザフォーラムの基本要件に違反したため、CAの信頼特権が失われていると述べています。これらの要件は、公開信頼されたCAのための最低限のグローバルルールを設定しています。
これらの要件は「アイデンティティがどのように確認されるか、証明書がどのように記録および監査されるか、そして、誤発行された証明書がどれだけ迅速に取り消されなければならないか(高リスクの問題では24時間以内、その他のほとんどでは5日以内)」を規定していますと彼はDark Readingに語っています。
「両方のCAは、基本要件の取り消し期限を繰り返し超過し、無効な証明書を許可された期間を超えてアクティブにし続けたため、Chromeはデフォルトの信頼を撤回しました」とソロコ氏は述べています。「Chunghwa Telecomはコンプライアンスに違反し、誤発行された証明書を取り消すのに必要以上の時間を要しました。NetLockも同様のコンプライアンス違反を行いました。」
ウェブサイト運営者へのフォローアップアクション
Googleの動きは、ブラウザ開発者が業界全体でより安全な証明書基準を促進する大規模な取り組みの一環です。攻撃者が証明書を盗んで偽造し、リモートシステムにアクセスする証明書の悪用が蔓延しており、GoogleやMozillaのような開発者は、ブラウジング体験から安全でない証明書を削除することでこの活動を阻止しようとしています。
Chromeの今後の変更は、そのユーザーだけでなく、ChunghwaまたはNetlockによって認証されたデジタル証明書を使用するサイトを持つウェブサイト運営者にも影響を与えます。Googleは、投稿内のChrome Certificate Viewerを通じて、これらの運営者が自分のサイトがこの措置の影響を受けているかどうかを確認するための手順をブログで提供しました。
運営者は、サイトに移動し、一連の手順に従って証明書が安全で有効かどうかを確認するよう指示されています。そうでない場合は、できるだけ早く新しい公開信頼されたCA所有者に移行する必要がありますと会社は述べています。
「既存の証明書の有効期限が2025年7月31日以降に予定されている場合、ユーザーへの悪影響を避けるために、行動は完了しなければなりません」と投稿には書かれています。
翻訳元: https://www.darkreading.com/remote-workforce/chrome-drop-trust-chunghwa-netlock-certificates