ブログ

    発行
     
      • Certificate Transparency とプライバシーのバランス

        May 26 2016, 7:59 AM

        作成者 : Michael Klieman 0

        筆者の前回のブログでは、シマンテックの製品が、お客様へ提供するサービスのすべてについて、今後数週間で Certificate Transparency(証明書の透明性、以下 CT)のサポートを拡大していくとお伝えしました。

        CT を利用すると、組織が所有しているドメインにおいてどのような SSL/TLS サーバ証明書が有効かを監視できます。大多数のお客様の用途では、現在の CT 実装でも問題はありません。ところが、イントラネットの用途で証明書を利用する場合には、証明書の情報(特にサブドメイン情報)を秘密にしておきたいという要望もあります。たとえば、support.mycompany.com については証明書情報を公開してもかまわないが、top-secret-project.mycompany.com のログを記録することには難色を示すというお客様がいても当然でしょう。現在の CT 仕様 RFC 6962 は、こういったプライバシーを伴う配慮や用途は考慮されていません。

        このような現実的な使い方に対応するために、シマンテックの現在の CT 実装では、デフォルトで証明書すべてのログを記録しますが、お客様が証明書の記録を「オプトアウト」するオプションも用意されています。確かに、これは最適なアプローチとは言えません。証明書のログをすべて記録するかすべて記録しないかのどちらかしか選択できないからです。しかし、現在の CT 仕様の限界を考えれば、お客様のプライバシーに対処するには今のところ最も効果的な方法と言えます。

        現在、IETF(Internet Engineering Task Force)が CT 仕様の次期バージョン(RFC 6962-bis)の策定に当たっているところです。この新バージョンでは、CT のログを編集してサブドメインの情報を除外できるようになります。上の例で言えば、top-secret-project.mycompany.com の証明書を「?.mycompany.com」として記録しようということです。この方式であれば、企業は証明書すべてのログを記録して監視したうえで、プライバシー問題にも対処できるようになります。

        シマンテックが名前部分の削除をサポートしているのは、透明性とプライバシーを両立する最適な方法と判断しているためで、最終的に承認され次第、新しい仕様を実装する予定です。

        シマンテックの CT サポートについて詳しくは、こちらをご覧ください。

        【参考訳】

        • Products
        • DigiCert Code Signing
        • Thought Leadership
        • Certificate Transparency
        • Symantec Website Security
      • Certificate Transparency(証明書の透明性)サポートの拡大

        May 26 2016, 7:57 AM

        作成者 : Michael Klieman 0

        本日シマンテックは、Certificate Transparency(証明書の透明性)のサポートを SSL/TLS サーバ証明書のすべてのブランドと顧客チャネルに拡大すると発表しました。Certificate Transparency は、全世界のお客様に強力な証明書管理機能を提供するための重要な要素です。

        Certificate Transparency(以下、CT)は、組織が所有しているドメインにおいてどのような SSL サーバ証明書が有効かを包括的に把握するためのオープンフレームワークです。簡潔なポリシーを実施し、中間者攻撃のような脅威にも迅速に対応するには、証明書について明確かつ完全に把握しておくことが欠かせません。

        すでに発表されているように、シマンテックはまず 2014 年 12 月に、Symantec、Thawte、GeoTrust の Extended Validation SSL/TLS サーバ証明書(以下、EV SSL 証明書)のすべてについて CT サポートを追加しました。次のステップが、これまでに各ブランドの 企業認証製品にサポートを拡大しており、2016 年 2 月にはすべてのドメイン認証製品のサポートを追加する予定です。CT サポートの完了を発表できるのは 3 月中旬の見込みで、このときには日本独自のプラットフォームに対してもサポートが行われます。

        CT が真に効果を発揮するには、公的に信頼されている証明書すべてについて、すべての認証局(CA)が証明書のログを記録する必要があります。シマンテックは、CT のサポートを CA/Browser Forum の Baseline Requirement として定めるべく、SSL/TLS のエコシステムにおける主要な人物との対話を始めています。さらに、CT の採用を促し、他の CA が CT をサポートしやすくなるように、シマンテックの CT サーバは、サードパーティの CA も SSL/TLS サーバ証明書のログを記録できるようにしています。

        シマンテックは、お客様に向けて、また SSL/TLS サーバ証明書エコシステムの中で、証明書の管理と統制の強化を引き続き推進していきます。CT の拡大については、こちらをご覧ください。

        【参考訳】

        • Products
        • DigiCert Code Signing
        • Certificate Transparency
        • Products and Solutions
        • Symantec Website Security