Google Chromeチームはこのたび、「Google Online Security Blog: Sustaining Digital Certificate Security - Entrust Certificate Distrust」において、認証局「Entrust」が発行するTLS証明書をChromeのルートストアから除外する方針を発表した。対象となるのは最も古いSCT(署名付き証明書のタイムスタンプ)の日付が2024年10月31日以降のEntrustまたはAffirmTrustが発行した証明書。2024年11月1日ごろから、該当するサーバ証明書を使用するWebサイトにアクセスしようとしたユーザーには画面の警告が表示されるようになる。

2024年11月1日以降、警告を表示

通常Webサーバは、第三者の認証局によって発行されたデジタル証明書を使用してその身元の正当性を表明し、Webブラウザとの安全な接続を確立するために公開暗号鍵を提供する。Webブラウザ側では、証明書を発行した認証局を確認した上で、それが信頼できる機関であれば接続を開始する。

信頼できる認証局であるかどうかはWebブラウザの開発ベンダーによって検証され、あらかじめリスト化されてWebブラウザ内に保持されている。これは一般的にルートストアと呼ばれており、Webブラウザでは定期的にルートストアを最新化することで安全性を維持している。

EntrustはChromeのルートストアにリストされている認証局の一つだが、GoogleはChrome 127以降でリストから除外することを決めたという。Googleでは過去6年間にわたってEntrustに対してコンプライアンス違反に対する改善を要求していたものの、その約束が実行されなかったことから、これ以上Entrustを信頼し続けるのはユーザーのリスクを増やすと判断したとのこと。

この処置はWindows、macOS、ChromeOS、Android、LinuxのChrome 127以降のバージョンで実施される。開始のタイミングは2024年11月1日頃とされており、その時点以降に発行された証明書を使用するWebサイトにユーザーがアクセスした場合に影響を受けることになる。具体的には、信頼できないWebサイトであるという旨の警告が表示され、安全ではないことを認識した上でなければアクセスできなくなる。

  • 信頼できないサーバー証明書を持つWebサイトにアクセスした場合の警告

    信頼できないサーバ証明書を持つWebサイトにアクセスした場合の警告

対象となるサーバ証明書

除外されるのは、最も古いSCTの日付が2024年10月31日以降の、次のEntrustおよびAffirmTrustのサーバ証明書。最も古いSCTの日付が2024年10月31日以前のものは影響を受けない。

  • CN=Entrust Root Certification Authority - EC1,OU=See www.entrust.net/legal-terms+OU=(c) 2012 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US`
  • CN=Entrust Root Certification Authority - G2,OU=See www.entrust.net/legal-terms+OU=(c) 2009 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US
  • CN=Entrust.net Certification Authority (2048),OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.)+OU=(c) 1999 Entrust.net Limited,O=Entrust.net
  • CN=Entrust Root Certification Authority,OU=www.entrust.net/CPS is incorporated by reference+OU=(c) 2006 Entrust, Inc.,O=Entrust, Inc.,C=US
  • CN=Entrust Root Certification Authority - G4,OU=See www.entrust.net/legal-terms+OU=(c) 2015 Entrust, Inc. - for authorized use only,O=Entrust, Inc.,C=US
  • CN=AffirmTrust Commercial,O=AffirmTrust,C=US
  • CN=AffirmTrust Networking,O=AffirmTrust,C=US
  • CN=AffirmTrust Premium,O=AffirmTrust,C=US
  • CN=AffirmTrust Premium ECC,O=AffirmTrust,C=US

なお、デフォルトでルートストアに登録されていない認証局でも、ユーザーが手動で信頼リストに追加できる。ただし、特別な事情がない限り推奨されない。Googleは、Entrustの除外に対してWebサイトの管理者が行うべきアクションについても解説している。