Google to Block Entrust Certificates in Chrome Starting November 2024
2024/06/29 TheHackerNews — Google の発表は、Entrust の証明書を使用している Web サイトを、2024年11月1日頃から Chrome でブロックするという方針である。Google Chrome セキュリティ・チームは、「これまでの数年にわたり、一般に公開されたインシデント・レポートにより、Entrust における懸念すべき行動パターンが浮き彫りになっている。具体的に言うと、期待を下回る能力/信頼性/不誠実さにより、公に信頼されるべき認証局の所有者としての、信頼が損なわれている」と述べている。
それにより、Google Chrome バージョン 127 以降では、Entrust の TLS サーバ認証証明書をデフォルトでは信頼しないようにする予定だとされる。ただし、この設定は、Chrome のユーザーが希望すれば上書きが可能だという。
さらに Google は、「認証局は、Web ブラウザ/Web サイト間の暗号化された接続を保証する、特権的で信頼される役割を担っている。その一方で、Entrust に関しては、公開されたインシデント・レポートや、実現されていない改善へのコミットメントが懸念される。結論として、Entrust における進歩の欠如は、インターネットのエコシステムにリスクをもたらす」と指摘している。
今回のブロッキング措置に対象は、Windows/macOS/ChromeOS/Android/Linux 版の、Chrome ブラウザが含まれる見込みだ。注目すべき例外は、iOS/iPadOS 用の Chrome だが、その背景には、Chrome Root Store の 使用を許可しない Apple のポリシーがある。
この結果として、Entrust/AffirmTrust が発行した証明書を提供する、Web サイトにナビゲートされるユーザーに対しては、その接続が安全ではなく、秘密が保持されないことを警告する、インタースティシャル・メッセージが表示されることになる。
今回の Google の措置により影響を受ける、Web サイト運営者に求められるのは、2024年10月31日までに、その他の信頼される認証局へと移行し、混乱を最小限に抑えることだ。なお、Entrust の Web サイトによると、同社のソリューションは Microsoft/Mastercard/VISA/VMware などで使用されているという。
Google は、「Web サイト運営者は、2024年11月1日に Chrome ブロッキング措置が開始される前に、Entrust から発行された新たな TLS 証明書を収集し、インストールすることを選択できる。それにより、ブロッキング措置の影響を遅らせることが可能だが、いずれは、Chrome ルートストアに含まれる他の CA から、新しい TLS 証明書を収集してインストールする必要が生じる」と述べている。
認証局として信頼できないとされた Entrust ですが、いったい何が起こってしまったのでしょうか? 詳細については、Mozilla が公表している CA/Entrust Issues を参照してください。Google がけが問題視して、強硬手段に出たという話ではないようです。よろしければ、Entrust で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.