質問

Advanced Search

Alert ID : INFO2181

Last Modified : 05/09/2018

Certificate Transparency(CT, 証明書の透明性)について

Description

Google Chromeを利用してお客様のウェブサイトへアクセスするサイトユーザへ、お客様のウェブサイトが安全であることを引き続き示していただくために、シマンテックでは Certificate Transparency(以下、CT)機能のご利用を推奨しています。

2016年6月以降にリリースされるGoogle Chromeを利用してシマンテックのサーバ証明書がインストールされたウェブサイトへアクセスする際、CT機能が有効になっていない場合には警告が表示される可能性がございますので、ご注意ください。また、EV SSL証明書をご利用の場合、CT機能が有効になっている場合に限りアドレスのグリーンバー表示がされます。

 

CTに関するよくあるご質問

1.Certificate Transparency(以下、CT)とは何ですか?
2.CT対応に関するシマンテックの計画を教えてください。
3.CTを有効にしないとどうなりますか?
4.CTを有効にした後、無効にすることは可能ですか?
5.証明書のどの情報が公開ログサーバに登録されるのですか?
6.公開ログサーバに登録された情報はどのように利用されるのですか?
7.すでに取得済みのサーバID、EV SSL証明書はCT対応になりますか?
8.CTについて詳しく知るためにはどうすれはよいですか?
9.モバイル版のChromeも対象ですか?
10.2016年6月以降にリリースされるGoogle Chromeへの対応について教えてください
11.証明書情報やドメイン情報を非公開とする必要があります。どうすればよいですか?

 

1.Certificate Transparency(CT)とは何ですか?

Certificate Transparencyとは、現在のSSLサーバ証明書の仕組みに、以下の3つの要素を追加することで、SSL/TLSの信頼性を高めるための新たな技術であり、Google社により提唱されました。

Certificate logs
Certificate monitors
Certificate auditors

認証局が証明書を発行する都度、証明書発行の証跡を、第三者の監査ログに記載する仕組みで、現在はRFC6962としてRFC化され、証明書の誤発行を防ぐ新たな技術として注目されています。

認証局が監査ログサーバを確認することで、ドメイン管理者の証明が明確でない状態のドメインに対して証明書を発行してしまうことを防ぐと共に、ウェブサイトの運営者やドメイン管理者も、自分のドメインに対して不正な
証明書やポリシー外の認証局からの証明書が発行されていないかを確認することが可能になります。また、それらにより、利用者が不正に発行された証明書を信頼することを防止する効果も期待されています。

CTは、シマンテックや他の認証局が採用する従来の認証および検証手順に代わるものではありません。発行されたサーバ証明書の信頼性を確認するための追加的な方法です。
 

2.CT対応に関するシマンテックの計画を教えてください。

シマンテックでは、EV SSL証明書に埋め込まれる証明書情報を利用する方法を採用いたしました。.
EV SSL証明書をご利用いただいているお客様のサイトユーザ様が引き続きGoogle Chromeにてグリーンバーや組織名をご確認いただけるよう、2014年12月上旬より証明書情報を公開ログサーバへの登録を開始いたします。
※CTを有効にする場合、EV SSL証明書にはCTに関する証明書プロファイルが追加登録されることとなりす。証明書発行時にログサーバに証明書情報が提出され、ログサーバから得られたSCTの情報が「OID1.3.6.1.4.1.11129.2.4.2」として証明書に埋め込まれます。 

CTの基本的な仕組み

 
3.CTを有効にしないとどうなりますか?

2016年6月以降にリリースされるGoogle Chromeを利用してシマンテックのサーバ証明書がインストールされたウェブサイトへアクセスする際、CT機能が有効になっていない場合には警告が表示される可能性がございます。また、CT有効にしていただかない場合、EV SSL証明書をご利用いただきましても、2015年2月以降、Google Chromeにてグリーンバーや組織名をご確認いただけなくなります。
尚、発行済のEV SSL証明書に対してCTを有効にしたい場合、証明書を更新または再発行していただく際に、有効にすることが可能です。
Google Chromeにおけるグリーンバーの例
Google Chromeにおけるグリーンバーの例
4.CTを有効にした後、無効にすることは可能ですか?

申請時に「CTへ登録しない」をご選択ください。
発行済み証明書は、再発行をする際に、「CTへ登録する」または「CTへ登録しない」のオプション変更が可能です。
また、一度公開された証明書の情報をログから削除することはできません。「CTへ登録する」から「CTへ登録しない」に変更した場合でも、以前の情報は残ります。
 
 
 5.証明書のどの情報が公開ログサーバに登録されるのですか?

CTを有効にすると、証明書のコモンネーム、SANsフィールドに登録されたサブジェクトの別名、組織名、発行者名、シリアル番号、有効期間、拡張機能、チェーンする認証局証明書(中間CA証明書、ルート証明書)、
といった情報がログサーバに公開されます。

 
6.公開ログサーバに登録された情報はどのように利用されるのですか?

証明書の所有者は証明書の信頼性を確認するためにログにアクセスすることができますが、そのためには適切なハードウェアとプログラムリソースが必要となります。現在Googleは公開ログサーバをホストすることを計画しており、それを受け、認証局もこれらを公開することになると考えらます。

ログサーバへアクセスした企業やインターネットの利用者は公開ログサーバを通じ、すべての公開された証明書情報を閲覧することが可能となります。
 
2014年12月10日以降、お手元のEV SSL証明書を再発行(無償)していただくことにより、CT対応のサーバIDとしてご利用いただけます。
また、014年12月上旬時点で発行済のEV SSL証明書について、コモンネームまたはSANs フィールドに登録されたサブジェクトの別名にてアクセスが可能な「公開ウェブサイト」に関しては、証明書情報をホワイトリストへ登録し、CTの適用対象として公開いたします。
コモンネームにて公にアクセスが不可能な「非公開ウェブサイト」に関しては、証明書の管理者、または技術担当者の許可を得て、証明書情報をホワイトリストへ登録し、CTの適用対象として公開いたします。.
※「非公開ウェブサイト」の証明書情報をお客様の承諾なしにホワイトリストへ登録することはいたしません。
※「非公開ウェブサイト」に該当する証明書の管理者様、技術担当者様への連絡はすでに完了いたしております。
■セキュア・サーバID、グローバル・サーバID
2016年3月14日以降にお手元のサーバIDを再発行(無償)していただくことにより、CT対応のサーバIDとしてご利用いただけます。
 
8.CTについて詳しく知るためにはどうすれはよいですか?

テクニカルサポートへお問い合わせいただくか、以下のウェブサイトをご参照ください。
 [当社ウェブサイト] Certificate Transparency
 http://www.symantec.com/ja/jp/page.jsp?id=ssl-certificate-transparency
 [外部サイト] Certificate Transparency(英語)
 http://www.certificate‐transparency.org/


9.モバイル版のChromeも対象ですか?


はい。モバイル版のChromeも対象となります。


10.2016年6月以降にリリースされるGoogle Chromeへの対応について教えてください


2016年6月1日の時点でお客様のウェブサイトでご利用いただくサーバIDにおいてCTが有効でない場合、Google Chromeにおいて警告の対象となる可能性があります。
この警告をあらかじめ回避するためには、シマンテックからGoogle社に提供するホワイトリスト(※)にご利用中のサーバIDの情報を登録する必要があります。
詳細は以下をご参照ください。

マネージドPKI for SSLをご利用のお客様
マネージドPKI for SSL Certificate Transparency (CT、証明書の透明性) の利用に関するホワイトリスト登録について

ストアフロントをご利用のお客様
Certificate Transparency (CT、証明書の透明性) の利用に関するホワイトリスト登録について



11.証明書情報やドメイン情報を非公開とする必要があります。どうすればよいですか?


サーバ証明書を申請する際に申請時に「CTへ登録しない」をご選択ください。ただし、この場合、Google ChromeまたはChromeベースのアプリケーションを介してプライベートドメインに接続すると、接続が「保護されていない」または「信頼できない」ことを示す警告の対象となります。
社内ネットワークなどプライベートな環境でサーバ証明書を利用される場合は、CTの機能の一部を無効化するためのポリシー(「CT exemption Policy」)を企業ユーザの端末に適用することで、警告/エラー表示を回避することが可能です。

[FAQ] 企業向け端末管理ソフトウェアなどでCT機能の一部を無効化にする方法