eSecurity Planetは7月5日(現地時間)、「Chrome to Block Entrust Certificates in November 2024」において、公開鍵証明書認証局(CA: Certificate Authority)の「Entrust」の信頼喪失について伝えた。Entrustは20年以上の実績を持つ公開鍵証明書認証局(CA)の1つで、発行した電子証明書は数百万のWebサイトで利用されているという。eSecurity Planetは、GoogleセキュリティチームがEntrustを信頼しないと発表した経緯や影響について解説している。
Entrustの信頼喪失
Googleセキュリティチームは6月27日(米国時間)、「Google Online Security Blog: Sustaining Digital Certificate Security - Entrust Certificate Distrust」において、2024年11月1日以降にEntrustが発行する電子証明書を信頼しないと発表した。Google Chromeはバージョン127からEntrustが11月以降に発行するTLS(Transport Layer Security)サーバ証明書を信頼しなくなる。
Googleはその理由を次のように述べ、ユーザーのセキュリティとプライバシー保護のために必要な処置としている。
われわれは過去6年間にわたり、(Entrustの)コンプライアンス違反、未達成の改善、公表されたインシデントに対する具体的かつ計画的な対応の欠如を観察してきた。これら要因と認証機関(CA)がインターネットエコシステムに与える影響を総合的に考慮した結果、ChromeがEntrustを信頼し続けることは正当化されないというのがわれわれの見解だ。
Googleの発表を受け、Entrustの最高経営責任者(CEO: Chief Executive Officer)は7月1日(米国時間)、「Thoughts on the Google Chrome Announcement… and Our Commitment to the Public TLS Certificate Business - Entrust Blog」において、Googleの決定に失望したと声明を発表した。
声明ではEntrustの対応に問題があったことを認め、改善に取り組んでいることを繰り返し説明している。しかしながら、Googleは6年間の調査により総合的に問題があると評価しており、Entrustの声明がGoogleの態度を軟化させる可能性は低いとみられる。
影響と対策
eSecurity Planetによると、Google Chrome 127以降を使用してEntrustが11月以降に発行したTLS証明書を使用するWebサイトにアクセスすると、セキュリティ警告が表示されるという。Webサイトの管理者は、次の手順にて影響を受ける可能性があるか確認できる。
- Chromeを起動して調査対象のWebサイトを表示する
- アドレスバーの「調整(tune)」アイコンをクリックする(参考:「Google Chrome、南京錠アイコンを2023年9月に廃止 | TECH+(テックプラス)」)
- 「この接続は保護されています。」をクリックする
- 「証明書は有効です。」をクリックする
- 「発行元」に「Entrust」または「Affirm Trust」と表示され、有効期限が2024年11月1日以降に切れる場合、その日以降に影響を受ける
影響を受ける場合は有効期限までに別の公開鍵証明書認証局(CA)から発行されたTLSサーバ証明書に移行することが推奨される。移行時期については、Webサイト訪問者への影響を軽減するため、できるだけ早くに移行することが望ましいとされる。
Google Chromeのユーザーには、セキュリティ警告の表示に遭遇しても冷静に対応することが望まれる。問題なくアクセスできていたWebサイトにおいて、突然セキュリティ警告が表示された場合は、URLを確認し、次に証明書の有効性を評価することが推奨される。証明書から問題を発見した場合、可能であればWebサイトの管理者に報告することが望まれている。