1. 電子証明書業界の最新動向

電子証明書業界の最新動向

  • このエントリーをはてなブックマークに追加

すでにご存知の方もいるかとは思いますが、2017年前半の電子証明書業界の最大のトピックとして、Digicert社によるSymantec社の電子証明書ビジネスの買収が話題になっています。(※正確には、投資会社であるThoma Bravo 社が買収)そこで、これまでの経緯や今後について交わされた様々なやり取りを時系列にまとめました。
※各社の全ての表明を網羅している訳ではありません。

これまでの経緯

2015年9月にSymantec社の証明書の誤発行問題をGoogle社が指摘してから約2年が経過し、Google社によるSymantec社の証明書発行に関わる是正要求が決まりかけた段階で今回の買収が表明されました。

年月内容詳細
2015年9月18日Google社がSymantec社の再販業者からの証明書誤発行を発見 Google Security Blog
Improved Digital Certificate Security
2015年10月28日Symantec社が未登録のドメインに対する証明書発行を公表 Symantec社は未登録のドメインに対し、2,500枚近くの証明書を発行していたと公表。Google社はSymantec社に2016年6月1日以降は全ての証明書に対し、CTに対応するよう要請を行った
※Certificate Transparencyの略
Google Security Blog
Sustaining Digital Certificate Security
2016年8月31日Symantec社がChromeにおけるCTの仕様変更ならびに影響の回避方法について掲載 シマンテック公式サイト
Google社 ChromeにおけるCertificate Transparency(CT)に関する仕様変更の内容ならびに影響の回避方法について
2016年10月25日Google社がSymantec社 に2017年10月以降発行の証明書に対しCTを要請 Announcement: Requiring Certificate Transparency in 2017
2016年11月10日Symantec社がChromeのバグによるエラー表示について案内 シマンテック公式ブログ
Chrome 53 Bug Affecting Symantec SSL/TLS Certificates
2016年12月2日Symantec社がChromeのバグが改善されたことを報告 シマンテック公式ブログ
Update on Chrome 53 Bug Affecting Symantec SSL/TLS Certificates
2016年12月7日Symantec社がChromeのバグによるCTエラーについて掲載 シマンテック公式サイト
Google社 Chrome53のバグによるCertificate Transparency (CT)エラーについて
2017年1月19日Mozilla社からもSymantec社の証明書誤発行が報告される Mozilla社 dev security policy (mdsp) listにて
Misissued/Suspicious Symantec Certificates
2017年1月26日Symantec社の調査により不正な証明書の数が127枚となる Bugzilla@Mozilla
Symantec: Mis-issued test certificates by CrossCert
2017年3月24日Google社によるペナルティ案が提案される Symantec社が不適切に発行した証明書が少なくとも30,000件あると表明。2017年8月8日までにすべてのSymantec社証明書を再発行させるよう提案。
また、Chrome 59にて33ヶ月以上の有効期間を持つSymantec社証明書に警告表示。以降、段階的に対象範囲を拡大させ、最終的にはChrome 64にて有効期間の対象を9ヶ月以内(279日以内)にする実装を行う案を発表
Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates
2017年3月24日Symantec社が30,000枚のうち不適切な証明書は127枚であると反論 シマンテック公式ブログ
Symantec Backs Its CA
2017年4月1日Mozilla社がSymantec社の問題に関するまとめページをwiki内に作成する mozilla wiki
CA:Symantec Issues
2017年4月22日Google社がChromeでの信頼済み証明書に対するCT対応日を2018年4月に変更 Certificate Transparency in Chrome - Change to Enforcement Date
2017年4月26日Symantec社から当初より推奨された証明書発行プロセスの改善案を発表 2017年12月1日までに新たな第三者認証局を設立し、すべての既存証明書をそのルートから再発行すると提案

シマンテック公式ブログ
Symantec CA Response to Google Proposal and Community Feedback
2017年5月4日Symantec社SSL/TLS RAパートナーのシャットダウン及び再審査を実施したと発表 第三者認証局による発行、証明書有効期間短縮の案の不当性を訴える

シマンテック公式ブログ
Symantec CA Continues the Public Dialogue
2017年5月19日Google社が新たな発表 発行インフラが改善されるまでは、証明書の発行は別の第三者認証局からに制限

■新Symantec社PKIへの移行
2017年8月8日:証明書は第三者認証局より発行されなければならないが、既存の審査情報の再利用は行える
2017年11月1日:証明書の発行には第三者認証局によって再審査されなければならない。BRで定めた審査情報再利用期間可の情報は使用する事ができる
※Baseline Requirementsの略
2018年2月1日:証明書の発行、審査は全て第三者認証局によって行われなければならない

■既存証明書
2016年6月1日以降もCT記載の証明書は信頼を続ける
2017年8月31日:Chrome 62にて2015年6月1日以前発行の証明書は信頼しない
2018年1月18日:Chrome 65にて2016年6月1日以前発行の証明書は信頼しない

また第三者認証局についての条件、監査、発行される証明書を言及

Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates
2017年5月19日Symantec社 のGoogle社の提案についての見解 シマンテック公式ブログ
Symantec CA’s Initial Response to Google’s Revised Proposal
2017年5月23日Symantec社が提案した今後の対応についてのMozilla社側からの分析 Mozilla Proposal re: Symantec
2017年5月24日Google社の提案がSymantec社のみを対象としていると主張 シマンテック公式ブログ
Symantec Backs Its CA
2017年6月1日Symantec社がGoogle社の新たな提案に対して反発 シマンテック公式ブログ
Symantec’s Response to Google’s subCA Proposal
2017年7月12日Symantec社が証明書ビジネスを他の第三者認証局に売却するニュースが記事に ロイター通信
Symantec explores selling web certificates business: sources
2017年8月2日Digicert社がSymantec社の証明書ビジネスを買収すると発表 2017年12月までに取引完了させ、9億5000万ドルでDigicert社へ売却。両社で新会社を設立し、事態収拾と、証明書発行の改善策の履行などを行い、証明書事業を継続していく
シマンテック公式ブログ
A New Chapter: DigiCert to Acquire Symantec’s Website Security and Related PKI Solutions
2017年8月8日Symantec社がSSLサーバ証明書の警告/エラー表示と回避方法について掲載 シマンテック公式サイト
【FAQ】Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法について
2017年8月21日Google社のSubCA提案に対するSymantec社の応答 Google の subCA 提案に対するシマンテックの応答
2017年9月11日Google社がSymantec社の今後の対応について発表 Google Security Blog
Chrome’s Plan to Distrust Symantec Certificates

今後の動向

今後、「Symantec」「Thawte」「GeoTrust」「Rapid SSL」から発行されているSSLサーバ証明書は、Chromeで警告/エラーが表示されてしまうため、回避するには新インフラでの再発行が必要となります。

年月内容詳細
2017年12月1日Symantec社の新インフラがオンライン上に更新されるGoogle社からChrome 70がリリースされる前に全てのSymantec社の証明書が新インフラにて発行、再発行されなければならない
2018年4月17日Google社からChrome 66がリリースされるSymantec社が2016年6月以前に発行した証明書は再発行を行わないと信頼されなくなる
2018年10月23日Google社からChrome 70がリリースされる信頼済みとなるためにはSymantec社は全ての証明書が新インフラにて発行されていなければならない

Mozilla社もFirefoxをChrome の日程と歩調を合わせる見込みです。弊社を含め電子証明書を発行する第三者認証局も、今後の動きには注視しております。

  • このエントリーをはてなブックマークに追加

この記事を書きました

杉野 充洋

杉野 充洋
所属:GMOグローバルサイン プロダクトマーケティング部
>>杉野 充洋の記事一覧