CT (Certificate Transparency) ってなあに?

こんにちは、クララオンライン運用担当の担当Sです。
皆様は CT をご存じでしょうか?

このCTは Certificate Transparency の略でGoogle社より提唱されています。
RFC6962としてRFC化されている、証明書の誤発行を防ぐための技術です。

要は、過去有名なドメインの証明書の不正発行されたアレコレ(DigiNotar社の事件とか)に対しての技術だと思われます。

 

CTの仕組み

認証局から発行された証明書を「Certificate Logs (以下、ログサーバー)」に登録します。その際、「Signed Certificate Timestamp(以下、SCT)」というタイムスタンプがデータで返ってきます。
この監査ログサーバーは公開されているため、証明書登録や内容の閲覧は誰でも可能です。

CT 対応の PC ブラウザ(現時点ではGoogle Chromeくらいかと)などから WEB サイトに SSL 接続を行う際、この SCT の値を入手することで、WEB サイトで使用されている証明書がログサーバーに登録されているかどうかを確認することが可能となります。

要するに証明書発行のプロセスを第三者の ログサーバー へ記録し、ログサーバの確認により不正な証明書が発行されていないか検証する仕組みです。
これは当初 DigiCert くらいしか対応していなかったのですが、ここ最近 シマンテック社も対応し始めたようです。

ちなみに現在認識されているログサーバの一覧が以下URLにまとめられています。

Known Logs
http://www.certificate-transparency.org/known-logs

 

<参考>
Certificate Transparency(透かし入り証明書)
http://www.symantec.com/ja/jp/page.jsp?id=ssl-certificate-transparency

Certificate Transparency について
https://www.cybertrust.ne.jp/ssl/sureserver/ct.html

 

CT対応していないとどうなるの?

ものすごくざっくり簡単に言うと、2015年2月1日以降 CTに対応していないEVSSLのみグリーンバーや組織名が表示されなくなります。
証明書自体が有効ではないというわけではなく、EVの特徴であり証であるグリーンバー表記等が表示されなくなるのです。
ちなみにCT対応しているとこんな感じの表示になります。

2015-01-29_215822

なので、ご自身のウェブサイトでEVSSLを利用していない方には現時点で影響はありません。
但し今後全てのSSLをCT対応しないと、、とか話が出るとまたSHA-2のような対応が必要になり、大変そうですね。
今の所は特にそういった情報は聞いてないのですが、SHA-2の件もありますし、今後のGoogle社の動きは個人的に気になるところです。

SSLベンダーの案内でGoogle社からアナウンスがあったと記載があるのですが、わかりやすいソースが見当たらず、、、恐らく Google社 の案内は以下URLのものではないかと思います。

Extended Validation in Chrome
http://www.certificate-transparency.org/ev-ct-plan

 

最後に

Google社は全てのウェブサイトをSSL化したいようで、去年ではSSL化されたウェブサイトをSEOで優遇したりなど、SSL関連では以前より動きが見えます。
これから長い期間をかけて強化していくと記載があるので、もうSSL押しが半端ないです

もちろんGoogle社だけでなくSSLはCA/Browser Forum 、各種ブラウザ・ベンダー、政府などなど様々な外部要因により仕様が変わり続けていくので、今後も目が離せないところですね!

<参考>
HTTPS をランキング シグナルに使用します
http://googlewebmastercentral-ja.blogspot.jp/2014/08/https-as-ranking-signal.html

HTTPS でサイトを保護
https://support.google.com/webmasters/answer/6073543?hl=ja&ref_topic=6001951

 

それでは今回はこの辺で。

 

Share on LinkedIn
LINEで送る
Pocket

claraer

claraer