シマンテックの証明書を失効させようとしたグーグル

　3月24日、グーグルのChromeチームでブラウザのレンダリングエンジン（Blink）を開発しているエンジニアから、Chromeコミュニティに対して、ある「提案」が発信された。

　その提案とは、Chromeブラウザでシマンテックが発行した証明書を段階的に失効にするというものだ。

　なぜChromeチームはこの提案をしたのか。グーグルは、シマンテックが発行する127の証明書について問題を発見しており、シマンテックと対応を協議していたにもかかわらず改善が進んでいなかったこと、さらに、信頼性の低い証明書が3万件にも達する可能性があったことなどがその理由だ。

　シマンテックはベリサインなど証明書発行の老舗ベンダーを傘下にしているほか、Thawte、Equifaxなどのいくつかの認証局を持っており、証明書のシェアはグローバルで30％とも40％とも言われている大手のサーバー証明書ベンダーである。

　とはいえ、いきなりすべての証明書を無効にするのは影響が大きすぎるため、今回のグーグルの提案ではシマンテックにChromeのバージョンごとに9～33か月の猶予期間を与え、期限を過ぎたブラウザバージョンから段階的に無効扱いにしていくとされた。

偽造証明書の被害を受けるグーグルの苦悩

　しかし、この提案を受けて黙っていられないのがシマンテックである。同社はこの発表翌日、グーグルに対して反論を行っている。

　追加の発表を含めたシマンテックの言い分をまとめると、「問題のある証明書が3万というのは事実誤認。あくまで127の証明書のみの問題であり、我々が発行する証明書は依然として安全である。そして、これはあくまで提案であって実施が決定したものではない。現在、グーグルとはこの問題について協議を続けている。ユーザーは冷静になってほしい」とのことだ。

　グーグルが認証局に対してアピールを行ったのはこれが初めてではない。2015年、CT（Certificate Transparency：証明の透明性）というプロジェクトを立ち上げ、SSL証明書の監査とログを行うオープンフレームワークを作り、すべての認証局に対して利用を呼び掛けた。

　CTは2013年にRFC 6962-bisとして、インターネットの標準化団体「IETF（Internet Engineering Task Force）」に認められた標準にもなっている。

　このとき、グーグルはChromeにおいてCTに対応していない証明書に警告メッセージを出すという措置を取った。これによってシマンテックを含む多くの認証局は、CT対応に追われたり、ユーザー向けにホワイトリストによる回避策をアナウンスしたりしていた。

　巨大プラットフォーマ―であるグーグルのドメイン（google.com）を偽証できる証明書は、攻撃者にとっては非常に価値が高い。実際に、これまでも認証局がハッキングされ、偽のgoogle.comの証明書が発行される事件が起きている。このような脅威に晒されているグーグルとしては、認証局が信頼性の低い証明書を発行しているとなれば黙ってはいられないのである。

シマンテックの証明書が失効した場合の影響範囲は？

　グーグルがもし、Chromeチームからの提案を実行に移し、シマンテックの証明書を無効にしていった場合、どのような影響が考えられるだろうか。

　シマンテック傘下の認証局が発行している証明書のシェアは、全体の30％程度と言われており、グーグルがシマンテックの証明書を無効にすればHTTPSサイトのおよそ3割がChromeでエラー扱いとなる。

　これによって企業は、利用者からの質問や問い合わせに対応したり、証明書の取りなおしたりといった作業を強いられるだろう。証明書は長期にわたって使用されることが多いため、企業によっては認証局を1か所に集約してコストや手続きを簡略化する傾向がある。

　おそらく、対応作業はシマンテック系の証明書を使っている企業に集中する。もちろん業界大手のひとつであるため、メジャーなサービスへの影響が避けられないだろう。

　ただし、あらためて強調しておくが、グーグルはシマンテック証明書の無効化を実施するとは言っていない。あくまで提案であり、目的は特定の証明書を無効にすることではなく、乗っ取りや偽造リスクのある信頼性の低い（とグーグルが判断した）証明書をネットから排除することだ。

　騒動が始まってから1か月ほど経過するが、いまのところこれより動きがあった情報は得られていない。おそらくこの問題はグーグルとシマンテックの間で解決がなされるものと思われる。グーグルとしても、公開で提案を行うことでシマンテックの対応を促すことが狙いだった可能性が高い。

【次ページ】「グーグル八分」なのか「自浄作用」なのか