GoogleとMozilla、中国認証局の新規証明書を一時的に失効

中国の認証局CNNICが新たに発行する証明書は当面の間、ChromeとFirefoxで信頼できない証明書として扱われる。

» 2015年04月03日 07時40分 公開
[鈴木聖子ITmedia]

 米Googleのドメイン用に不正なデジタル証明書が発行されていた問題を巡ってGoogleとMozillaは、中国の認証局China Internet Network Information Center(CNNIC)が新たに発行する証明書を一時的に信頼できない証明書として扱うと発表した。発行済みの証明書については引き続き有効とする。

 問題の証明書は、CNNICの下位の認証局(CA)であるエジプトのMCS Holdingsを通じて発行され、GoogleやMozilla、Microsoftなどの各社が3月下旬、MCS Holdingsの証明書を失効させる措置を講じていた。

 Googleは4月1日のブログで、この問題について調査した結果、「CNNICのルートおよびEV CAの承認を取り消すことを決め、Chromeの更新版でこの措置を講じることにした」と発表した。

 ただし影響を受けるユーザーに配慮して、CNNICの発行済みの証明書についてはChromeで当面の間、引き続き信頼できる証明書として扱うとした。

Googleの声明

 不正な証明書については、これまでに確認されたもの以外に発行された形跡はなく、MCS Holdingsのテストネットワークの範囲外で使われた形跡もないと説明した。CNNICは再発防止策を講じる予定だといい、Googleは「CNNICの予防的措置を評価する。適切な技術と管理手順が講じられた後の再申請を歓迎する」としている。

 一方、MozillaはCNNICの慣行について、「PKIプラクティスを文書化しておらず、秘密鍵の保存や管理方法の監修も行っていない企業に対して制約のない中間証明書を発行していたCNNICの行為は、Mozillaのポリシーに照らして『あまりにひどい』との結論に達した」と説明した。

 この判断に基づき、FirefoxなどのMozilla製品ではCNNICが発行したルート証明書のうち、2015年4月1日以降に発行された証明書については信頼できない証明書として扱うことを決めた。ただしCNNICはルートストアに残し、CNNICの発行済みの証明書については引き続き有効な証明書として扱う方針。CNNICが追加的対策を講じれば、改めてMozillaルートストアへの加入を再申請し、今回の措置を撤回させることができると説明している。

Mozillaの声明

 今回の措置についてCNNICは、「Googleの決定は受け入れがたい」と反発。「CNNICが発行済みの証明書のユーザーは影響を受けない」と強調した。

関連キーワード

CNNIC | Google | Mozilla | 認証 | 中国 | サーバ証明書


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ