みなさん、こんにちは。セキュリティ レスポンス チームの村木ゆりかです。
年始に公開されたセキュリティ アドバイザリ 2798897も記憶に新しいように、証明書に関するアドバイザリや更新は増えてきています。
今回は、マイクロソフトと、証明機関が連携して行っている証明書基盤づくりの取り組みを紹介します。
証明機関をなぜ信用するのか?
セキュアなウェブサイト (HTTPS サイト) を閲覧する際に、サーバーの身分を証明し、安全な暗号化通信を行うために、証明書が利用されていることは、多くの皆さんがご存知ではないでしょうか。この証明書での認証が行われることで、ウェブサイトが信頼されるものであると処理されていますが、インターネットの世界においては、お互い知らない者同士である、ウェブサイトと、ユーザーですが、どのようにして信頼しているのでしょうか?
このようなシチュエーションは現実世界でも起きています。たとえば、印鑑証明です。契約などの際に利用する印鑑は、信頼している公的機関である役所から発行された印鑑証明書を利用して、初めて出会う者同士でも信頼を確立して取引が行えるようになっています。
デジタルの世界でも同じです。証明機関は様々な審査を行った上でウェブサイトへ証明書を発行し、利用者は、証明機関を信頼することで、初めて会うウェブサイトとユーザーの間に信頼関係が生まれるのです。
このように、当事者同士だけではなく、共通の第三者を信頼することにより信頼性を確立することを、「第三者認証」と呼びます。これが、証明書を利用する基盤における基本的な仕組みです。
Windows で証明機関を信頼するとは?
Windows においては、「証明機関 (CA) を信頼している」ことを、「CA 証明書を信頼された証明書としてインストールしている」 ということをもって確認します。
悪用が行われた場合や証明書の鍵を紛失してしまった場合など、何らかの問題が発生した場合、証明書の利用を取りやめるために、「証明書を信頼しない」ようにすることもできます。これを証明書の失効といいます。Windows においては、失効する方法のひとつとして、「信頼されていない証明書としてインストールする方法」があります。セキュリティ アドバイザリでは、問題の発生した証明機関の証明書の情報を公開し、それらを失効する (信頼していない証明書としてインストールする) ための更新プログラムを公開しています。(注釈 1)
どの証明書を、どのような認識としてインストールしているかは、Internet Explorer から、[ツール] – [インターネット オプション] – [コンテンツ] タブの [証明書] タブから確認できます。「信頼されたルート証明機関」「信頼された発行元」「中間証明機関」にある証明書は、信頼している証明機関です。「信頼されない発行元」にある証明書は、失効した証明機関の証明書やサーバーの証明書などです。
ルート証明書更新プログラムと、自動失効ツール
現在、数百もの証明機関が世の中に構築されています。ひとつひとつの証明機関の信頼性を自身で確認し、信頼するのは大変です。また、信頼性を確認しても、CA証明書の手動でのインストールや、失効した証明書が発生する度に更新を行うのはとても大変です。
そこで、マイクロソフトでは、ユーザーのみなさんに安全にインターネットや、その他の証明書を利用した機能を利用いただくために、「ルート証明書更新プログラム」という取り組みを行っています。
このルート証明書更新プログラムでは、証明機関と連携を行い、信頼できる証明機関のリストを作成しています。
それぞれの証明機関が、信用できるものなのか、マイクロソフトが皆さんに代わって確認を行い、信頼できる CA 証明書を配信し、Windows 端末に自動でインストールが行われます。信頼できる証明機関の証明書とするためには、証明機関の監査の状況、CA 証明書に利用しているアルゴリズムや鍵長など、安全性が確保されるセキュリティ要件を満たす必要があります。
作成されている信頼される証明機関のリストは、ウェブサイトを閲覧した際などに、利用している Windows 端末から自動的にマイクロソフトのサーバーへ接続し参照が行われます。リストに記載されている証明機関であった場合には、信頼しているものとして CA 証明書をインストールします。
この機能は、Windows XP, Windows 2003 以降の Windows では既定で有効になっています。
また、失効した証明書についても配信を行っており、利用している Windows 端末にて自動で確認、および更新を行うことができます。
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 をご利用の方は、サポート技術情報 2677070で公開している更新プログラムをインストールすることで、この機能を利用可能です。Windows Update を自動更新 (既定) にしている方は、自動でインストールされます。また、Windows 8 /Windows Server 2012 をご利用の場合は、既定でこの機能は利用可能になっています。
おわりに
証明書の利用はどんどん広まり、それゆえに、利用する側としては、管理や信頼性の確保は複雑さを増しています。
マイクロソフトは、Windows や Internet Explorer にて安全に証明書を利用していただくために、様々な取り組みや実装を行っています。
今回は、代表的な取り組みであるルート証明書更新プログラムをご紹介しました。こうした取り組みを知っていただくことで、より安心いただけると嬉しいです。
注釈1: 2013 年1 月 17 日現在、以下のセキュリティ アドバイザリが公開されています。