トピックス

TOPICS

Digicert、2013年10月から Certificate Transparency (CT)ログ への登録を開始

Certificate Transparency は、<証明書の透明性>等と訳すことができますが、定着した日本語訳がまだないようですので、以下ではわかりやすさを重視し「 CT(Certificate Transparency:透かし入り証明書)」と表記します。

Googleは2013年 12月より、3地域で CT(Certificate Transparency:透かし入り証明書)ログを展開する計画を発表しました。
計画によると、近い将来、Google Chrome でインターネットを利用する際、EV SSLサーバ証明書に対して必ず CT チェックを行うということです。

Digicert は本年、Google ともに CT(Certificate Transparency:透かし入り証明書)実現の準備に取り組み、CTをサポートする最初の CA(認証局)として、Digicert CT プラットフォームを準備しました。
DigiCertでは、10月末までに CTログへのSSL証明書の登録を開始します。

CTチェック

CT(Certificate Transparency:透かし入り証明書)概要

DigiCertは、堅牢なセキュリティ・インフラストラクチャを維持しながらアイデンティティを検証し、最高レベルの業界標準に従って SSL サーバ証明書を発行しています。
一方、誤発行された証明書や不正な証明書が問題を引き起こすことがないよう、不正に発行された証明書の早期発見もまた非常に重要なことであると考えています。

SSL サーバ証明書に transparency 層を追加するという考えは、インターネットの黎明期である90年代にすでに提案されていました。
Googleは、この CT(Certificate Transparency:透かし入り証明書)の原理を採用し、より信頼性の高いインターネット環境を実現しようとしています。

CT(Certificate Transparency:透かし入り証明書)は、CA(認証局)の証明書発行行為に光を当て、SSLサーバ証明書への脅威の発見と軽減にむけ、証明書の利用者のセキュリティ監視能力を向上させます。

CT(Certificate Transparency:透かし入り証明書)は、証明書の発行を規定にのっとった手段で行うようにCA (認証局)を導く方法ともいえます。
CT がどのように機能するのかは http://www.certificate-transparency.org/how-ct-works を参照ください。

CT(Certificate Transparency:透かし入り証明書)の仕組み

CT(Certificate Transparency:透かし入り証明書)は発行された証明書が正式なものであることを証明するもので、適切に発行されていない証明書と識別することができます。
CT は、証明書の所有者、証明書の利用者のどちらからも利用可能です。

CA (認証局)は CT(Certificate Transparency:透かし入り証明書)の実現のために、正式な証明書の発行前に、pre-certificate(プレ証明書)と呼ばれるものを発行し、それをログサーバーに登録します。
pre-certificate(プレ証明書)の登録を受けたログサーバーは Signed Certificate Timestamp (SCT:登録済み証明書タイムスタンプ)を CA(認証局)に返します。
SCT は、証明書がログに登録されている場所を指し示すポインターの機能を果たします。これによって、CA (認証局)は正しく発行されているという証拠付の証明書が発行できることになります。
この SCT は、正規の証明書に埋め込んで利用することも、別の方法で提供することもできます。
詳しくは http://tools.ietf.org/html/rfc6962#section-3 を参照ください。

CTの仕組み

CT(Certificate Transparency:透かし入り証明書)へのDigiCertの対応について

CT(Certificate Transparency:透かし入り証明書)が確立したとしても、失効したサーバ証明書の確認が不要になるわけではありません。失効の確認はオンラインの信頼性確立手段にとって依然として重要です。
Digicertは、失効したサーバ証明書がサイトに与える影響を軽減する重要なメカニズムとして、ハードウェア・ソフトウェアメーカがデフォルトでOCSP(*用語解説)を組み込み採用するよう、引き続き支援してゆきます。

また、CT が Chrome 以外の一般的なブラウザにも採用され、公的な信頼形成の標準技術になるまでの期間、DigiCert は証明書発行にあたってお客様が CT を有効にするかしないかを選択できる機能を提供します。
これにより、お客様がネットワークの設定に要する時間を節約できます。

  • 用語解説
  • Online Certificate Status Protocol(OCSP)は、X.509公開鍵証明書の失効状態を取得するための通信プロトコルである。RFC 6960 で規定されており、インターネット標準トラック上にある。証明書失効リスト (CRL) の代替として策定されたもので、CRLを公開鍵基盤 (PKI) で使う際の問題に対応している。OCSP のメッセージは ASN.1 で符号化されており、HTTP を使ってやり取りされる。要求/応答型メッセージであることから、OCSPサーバを「OCSPレスポンダ」と呼ぶ。
    http://ja.wikipedia.org/wiki/Online_Certificate_Status_Protocolから引用

既に弊社よりご購入済みのDigiCert証明書をCT対応へ変更される場合は、証明書の再発行を行うことで対応することができます(再発行手数料:無料)。

会社名とご担当者様名とご連絡先を記載の上、お問合せフォーム、または以下のメールアドレス宛にご連絡ください。折り返し担当者よりご案内させていただきます。


法人営業部DigiCert(デジサート)担当
mail: info@rms.ne.jp

RMS

・SSLサーバー証明書

・コードサイニング
その他証明書

・バウチャ(クーポン)

お見積依頼

Copyright © cybervision Hosting. All rights reserved.