Google Chrome、SSL証明書のオンライン失効チェックを無効に

認証局のサーバにアクセスしてSSL証明書が失効していないかどうか確認する仕組みは、「衝突すると折れてしまうシートベルトのようなもの」とGoogleのセキュリティ担当者はいう。

[ITmedia]

　Webサイトの「身元確認」のために認証局（CA）が発行したSSL証明書をオンラインでチェックするWebブラウザの仕組みについて、米Googleがこの仕組みにはほとんど意味がないと判断し、WebブラウザのChromeの将来バージョンでオンラインチェックをやめる方針を打ち出した。Googleのセキュリティ担当者、アダム・ラングリー氏が自身のブログ「ImperialViolet」で明らかにした。

　同氏によると、ChromeなどのWebブラウザでHTTPSを使ったWebサイトにアクセスする際は、そのサイトが本物であることを確認するためにSSL証明書をチェックする。この過程で、証明書を発行した認証局（CA）が運営するサービスにオンラインでアクセスし、証明書が失効していないかどうかを確認している。

　しかし、技術的問題のためにCAのサーバにアクセスできない場合もあるといい、そうした場合にCAへの接続を試み続ければ機能が停止してしまう。そこで、チェックの過程で発生したネットワークエラーは実質的に無視しているという。

　この実態に付け込んで、HTTPS接続に介入する攻撃でオンライン失効チェックが失敗したように見せかけて、チェックをかわしてしまうことも可能だといい、「このような失効チェックは衝突すると折れてしまうシートベルトのようなもので、99％機能していたとしても、必要のない時にしか機能しないのでは意味がない」とラングリー氏は指摘する。

　一方で、失効チェックのためにページの読み込みが遅くなるというデメリットがあるほか、CAがユーザーのIPアドレスと閲覧したWebサイトを把握できてしまうことからプライバシー上の懸念も生じると同氏は言う。

　こうした実態を受けてGoogleでは、Chromeの将来バージョンでオンライン失効チェックを無効にすることを計画しているという。

　CAが発行する証明書をめぐっては、2011年に不正なSSL証明書が発行される事件が相次いだことを受け、主要ブラウザメーカーがソフトウェアアップデートを通じて証明書を失効させる措置を取った。Googleは今後、この仕組みを活用して、アップデートを使って失効した証明書のリストを管理していく方針だとしている。