Baldanders.info

踊る PKI

ありがちなようで(もしかしたら)深い話。

最近発覚した、Googleの複数のドメインに対し不正な証明書が発行された問題で、同社は、中国のドメイン(.cn)を管轄する認証機関であるChina Internet Network Information Center(CNNIC)のすべての証明書を、同社の製品でブロックすることを決定した。
グーグル、中国の認証機関CNNICのルート証明書を排除へより

事の発端は先週のこれ。

エジプトの企業 MCS Holdings が CNNIC(China Internet Network Information Center)から取得した中間認証局証明書を悪用し google.com, google.com.eg, g.doubleclick.net, gstatic.com, www.google.com, www.gmail.com, googleapis.com 各ドメインの証明書を偽造していた問題。

Mozillaが行った調査結果では、CNNICが中間CAに証明書を発行するプロセスはあまりにずさんなもので、PKIプラクティスは文章化されておらず、秘密鍵の保管方法もずさんなものであり「あまりにもひどいものであった」とCNNIC側を批判しています。
GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させるより

こういう話は頻繁にあるわけではないが珍しいことでもない。 たとえば2013年にも

米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。
Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。
[...]
GoogleはChromeブラウザで問題の証明書を失効させ、この証明書を発行した中間認証局を遮断する措置を講じた。
Googleドメイン用の不正証明書が発行される、各社が失効措置へ - ITmedia ニュースより

という話があった。 ただし,このときは実際に不正を行った中間認証局(の証明書)をブロックしただけだったが,今回は CNNIC のルート証明書を(一時的? にせよ)ブロックしている。 この影響はかなりデカくて

「この決定によって影響を受ける顧客を支援するため、公表されたホワイトリストを使用し、一定期間CNNICの既存の証明書を信頼できるものとして使用できるようにする」とGoogleは述べている。
グーグル、中国の認証機関CNNICのルート証明書を排除へより

ふつう,証明書の有効性は(権威的)CA 側が判断するもので,アプリケーションにすぎない Chrome 等のブラウザがやることではない。 そういうことをアプリケーション側がやらざるを得ないってのが現在の状況だということだ。 もちろんブラウザ側の判断が常に正しいという根拠は何もない(今回の判断は妥当だと思うけどね)。 私たちはただ状況に応じて「選択」することしかできない。

こうやって少しずつ(X.509 型の)PKI は壊れていくんだねぇ。 EV SSL なんか鼻くそほどの役にも立たないという証拠である。

参考ページ

参考図書

photo
信頼と裏切りの社会
ブルース・シュナイアー 山形 浩生
エヌティティ出版 2013-12-24
評価

殺人ザルはいかにして経済に目覚めたか?―― ヒトの進化からみた経済学 楽観主義者の未来予測(上): テクノロジーの爆発的進化が世界を豊かにする それでも金融はすばらしい: 人類最強の発明で世界の難問を解く。 自己が心にやってくる ルールに従う―社会科学の規範理論序説 (叢書《制度を考える》)

reviewed by Spiegel on 2015/04/03 (powered by G-Tools)