質問

Alert ID : ALERT2031

Certificate Transparencyに関する仕様変更について

INFORMATION

Description

2016年 5月 30日

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ


Certificate Transparencyに関する仕様変更について


平素は弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

この度、シマンテックではSSLサーバ証明書申請システムにおいて、Certificate Transparency(以下、「CT」)に関する仕様変更を実施し、SSLサーバ証明書発行時にCTログサーバに登録するドメイン名情報の一部を非公開とする「Name Redaction」への対応を開始することをご案内申し上げます。

詳細は下記をご確認ください。

弊社では引続きサービス向上に努めて参りますので、今後ともご愛顧賜りますようお願い申し上げます。



1. 適用日時


2016年 6月 2日(木)(日本時間)

※ 本仕様変更に伴うシステム停止はございません。
※ 本仕様変更に伴う発行済みのサーバ証明書への影響はございません。


2.対象システム


シマンテック ストアフロント


3.対象製品


対象システムから申請・発行いただける全てのSSLサーバ証明書製品


4.変更内容


シマンテックでは、SSLサーバ証明書発行時にCTログ登録するドメイン名情情報の一部を非公開とする「Name Redaction」への対応を開始いたします。
これに伴い、適用日時以降、SSLサーバ証明書の申請時に各申請システムで選択いただけるCTの設定オプションが変更になります。
 
 <変更前の設定オプション>
 チェックボックスで以下を選択可能

  •   「公開ログサーバへの証明書情報の登録を行わない」
     

 <変更後の設定オプション>
  ラジオボタンで以下のいずれかを選択可能

  •  「CTへ登録する (推奨)」
  •  「CTへ登録する情報の一部を非公開(Name Redaction)とする」
     

  ※公開ログサーバへ証明書情報の登録を行わない旨のチェックボックスは廃止されます。
  ※変更後、各オプション選択時のCTの登録情報は以下のようになります。
 
  a)「CTへ登録する (推奨)」を選択した場合
     証明書のCN(コモンネーム)またはSANsフィールドに記載するFQDN (完全修飾ドメイン名)がそのままCTへ登録されます

     (例)
      mail.example.com
      secret.example.co.jp
      secret.www.example.com

  b)「CTへ登録する情報の一部を非公開(Name Redaction)とする」を選択した場合
     証明書のCN(コモンネーム)またはSANsフィールドに記載するFQDNから、お客様のドメイン名より下位(左側)に記載される名前を「?」(クエスチョンマーク)に置き換えてCTへ登録されます。

     (例)
      ?.example.com
      ?.example.co.jp
      ?.?.example.com


5.変更の背景


CTは、認証局が発行した証明書の情報を、公開ログサーバに監査ログ(以下、「ログ」)として登録し、ブラウザがウェブサーバにhttpsで接続する際に、このログを参照することで証明書の正当性の検証を補完したり、モニタリングツール(*1)を用いて自社のドメインに対して発行される証明書を監視したりできるようにする仕組みです。例えば、自社が保有するドメイン名に対して証明書発行の権限が無いものが証明書を発行すると、ドメイン名保有者はその事実を容易に認識することが可能となります。
 
しかしながら、社内イントラネット専用のウェブページ、サーバ間通信にのみ利用されるウェブサーバなど、機密性が高いウェブサイトでは、ホスト名やサブドメイン名を省略しないFQDN (例:www.example.com) をログ登録する場合に、お客様のプライバシーまたはセキュリティポリシー上の懸念が提起されるケースがあります。
 
従来、シマンテックでは機密性が高いホスト名やサブドメイン名に関しては CTへの登録そのものを回避する方法を提供してきましたが、同様の懸念に対処する方法として「Name Redaction」が策定され、ホスト名やサブドメイン名を省略してCTへ登録することで、プライバシーへの懸念を解消しつつ、同時に公開ログサーバへの証明書情報を登録ならびにモニタリングすることが可能となったため、これを採用することを決定いたしました。「Name Redaction」の技術は、IETFにてRFC 6962-bisとして策定されています。

  *1 : シマンテックではCTの公開ログサーバのモニタリングツールの提供を予定しています。ご提供時期等の詳細は確定次第別途ご案内申し上げます。

  (参考) Certificate Transparency(証明書の透明性)
  https://www.symantec.com/ja/jp/page.jsp?id=ssl-certificate-transparency


  (参考) シマンテック ブログ(英語)
  Privacy, Redaction and Certificate Transparency
  http://www.symantec.com/connect/blogs/privacy-redaction-and-certificate-transparency

  (参考) Certificate Transparency (draft-ietf-trans-rfc6962-bis-14)
  https://datatracker.ietf.org/doc/draft-ietf-trans-rfc6962-bis/


6.注意事項


Google社は、本日までに同社の提供するブラウザGoogle Chromeにおける 「Name Redaction」へのサポートを表明していません。そのため、2016年6月1日以降、Google Chromeでは、情報の一部を非公開 (Name Redaction)として登録された証明書に対して、警告/エラーを表示する恐れがありますのでご注意ください。

  ※ Google Chrome以外のブラウザでは、CT登録の有無によって表示内容に変化が表れる機能、または将来においてこうした機能が提供される予定は、確認されていません。


7. 本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ カスタマーサポート
Email : server_info_jp@symantec.com
電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
(平日9時30分~17時30分、ただし祝祭日および年末年始を除く)

以上

----------------------------------------------------------------------
発行 : 合同会社シマンテック・ウェブサイトセキュリティ
----------------------------------------------------------------------