コンテンツにスキップするには Enter キーを押してください

ChromeがChunghwaとNetlockの証明書の信頼を取り下げる

投稿日 2025年6月4日

Google Chromeのロゴに虫眼鏡をかけた画像の一部がぼやけている

出典: Qubix Studio via Shutterstock

Google Chromeブラウザは、証明書機関(CAs)の信頼性が失われたとして、Chunghwa TelecomとNetlockからのデジタル証明書をデフォルトで信頼しなくなります。

この変更は、最近のGoogleセキュリティブログの投稿によると、次の主要なブラウザビルドであるChrome 139のリリースで有効になります。

この措置は8月1日からChromeルートストアによって実施されます。このストアは、会社が維持し、ChromeがHTTPSを介した安全な接続を検証するために使用する信頼された証明書機関のリストです。Chrome 139は8月5日に安定版としてリリースされる予定です。

「Chunghwa TelecomとNetlockがChromeルートストアに含まれるCAオーナーとしての信頼性に対するChromeの信頼は、過去1年間に観察された懸念される行動パターンにより低下しました」と投稿には記されています。「これらのパターンは信頼性の喪失を示しており、期待に応えられず、Chromeでデフォルトで信頼される公的に信頼された証明書発行者としてのこれらのCAオーナーへの信頼を損なっています。」

Googleの措置は、これらの機関からの証明書でレンダリングされたWebページがユーザーに完全に表示されなくなることを意味するものではありませんが、ブラウジング体験を妨げます。ユーザーがこれらの機関のいずれかの証明書を使用しているページに移動すると、最初に中間ページが表示され、接続が安全でないことを知らせます。この警告を無視してページを表示するには、ユーザーがそれを上書きするボタンをクリックする必要があります。

関連記事:LummaC2が崩壊し、Acreedマルウェアがトップに

CAの期待に応えることの一貫した失敗

Chunghwaは台湾最大の通信ネットワーク運営者であり、ePKIとHiPKIという公的CAを運営しています。ハンガリーに拠点を置くNetlockは、自国および他のヨーロッパ諸国で使用されるデジタル認証サービスの提供者です。

Googleが証明書をブロックするという決定は、ChunghwaとNetlockの両者がChromeルートプログラムポリシーの原則を損なうさまざまな行動を数ヶ月、さらには数年にわたって行った後に行われました。このポリシーは、CA証明書が「その継続的な含有のリスクを超える価値をChromeのエンドユーザーに提供しなければならない」と述べています。この動きは、昨年11月にGoogleが同様の理由で実施したEntrustからの証明書をブロックする動きに続くものです。

「問題が発生した場合、CAオーナーが意味のある、そして実証可能な変化を約束し、継続的な改善を証明することを期待しています」と会社は述べています。

この2つの機関は、コンプライアンスの失敗を改善し、望ましい改善を行うことができず、過去数ヶ月および数年間にわたって一貫して公に開示されたインシデントレポートに対して「測定可能な進展」を達成できなかったため、信頼を失ったとGoogleは述べています。

関連記事:新しいハッカーミリオネアクラスの構築方法

しかし、会社はChunghwaやNetlockがどのような不正行動を行ったのか具体的には言及しておらず、ただ彼らがCAとしての「特権的で信頼された役割」を果たせなかったと述べています。

アリゾナ州スコッツデールに拠点を置く包括的な証明書ライフサイクル管理(CLM)プロバイダーであるSectigoのシニアフェローであるJason Sorokoは、CA/ブラウザフォーラムのベースライン要件に違反したため、CAが信頼特権を失っていると述べています。これらの要件は、公開信頼されたCAの最低限のグローバルルールを設定しています。

要件は、「アイデンティティがどのように検証されるか、証明書がどのように記録および監査されるか、そして特に、誤発行された証明書がどれだけ迅速に取り消されるべきか(高リスクの問題では24時間以内、その他のほとんどでは5日以内)」を規定しています。

「両方のCAは繰り返しベースライン要件の取り消し期限を過ぎ、無効な証明書を許可された期間を超えてアクティブにし続け、Chromeがデフォルトの信頼を取り下げることを促しました」とSorokoは述べています。「Chunghwa Telecomはコンプライアンスに違反し、証明書を誤発行し、取り消しに必要以上の時間を要しました。NetLockも同様のコンプライアンス違反を行いました。」

関連記事:法的支援機関が弁護士、被告にデータ侵害を警告

ウェブサイト運営者向けのフォローアップアクション

Googleの動きは、ブラウザ開発者が業界全体でより安全な証明書基準を促進するための大規模な取り組みの一環です。攻撃者が証明書を盗んで偽造し、リモートシステムにアクセスする証明書の乱用が横行しており、GoogleやMozillaのような開発者は、ブラウジング体験から不安全な証明書を削除することでこの活動を阻止しようとしています。

Chromeへの今後の変更は、ユーザーだけでなく、デジタル証明書をChunghwaまたはNetlockによって認可されたサイトを持つウェブサイト運営者にも影響を与えます。Googleは、ブログでChrome証明書ビューアを使用して、これらの運営者が自分のサイトが影響を受けているかどうかを確認する方法を提供しました。

運営者は、サイトに移動し、一連の手順に従って証明書が安全で有効かどうかを確認するよう指示されています。そうでない場合は、できるだけ早く新しい公的に信頼されたCAオーナーに移行する必要があると会社は述べています。

投稿によれば、「既存の証明書が2025年7月31日以降に期限切れになる予定の場合、悪影響を避けるために、アクションは期限切れ前に完了する必要があります。」

翻訳元: https://www.darkreading.com/remote-workforce/chrome-drops-trust-chunghwa-netlock-certificates

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です