7月10日(米国時間)、Threatpostに掲載された記事「Google to Fully Distrust WoSign/StartCom SSL Certs in Chrome 61|Threatpost|The first stop for security news」が、GoogleはChrome 61から中国の認証局WoSignが発行したTLS証明書を信頼しないように設定を変更すると伝えた。WoSignの発行したTLS証明書を使っている場合は別の認証局が発行した証明書への差し替えを検討したほうがよいだろうと指摘している。
同記事は、7月7日のChromeのセキュリティチームのDevon O’Brien氏によるフォーラムへの投稿に基づくもの。同氏は、2016年10月にSecurity Blogで発表した通り、Chrome 61から中国の認証局WoSignが発行したTLS証明書に関する設定を変更すると述べている。
|
Devon O’Brien氏によるフォーラムへの投稿 |
TLS証明書は安全な通信を実施するための基盤となっているが、認証局によっては証明書の発行方法が安全とは言えないものがある。そのため、主要なブラウザベンダーは、自社のブラウザにおいてそうした認証局が発行したTLS証明書を使っているサイトを信頼性が低いものと判断するようになってきている。
こうした取り組みは今後さらに制限が厳しくなるものと見られており、これまで問題なく表示されていたWebサイトもブラウザによって安全ではないと判断されるようになる可能性がある。ブラウザや証明書のセキュア度合いを判断するサービスを通じて証明書の安全性の低さが指摘された場合、より信頼度の高い証明書を入れ替える必要性が生じるかもしれない。
