Ticker

6/recent/ticker-posts

Header Ads Widget

Google、HTTPS、デバイスの互換性

この記事は Google Trust Services、プロダクト マネジメント、Ryan Hurst による Google Online Security Blog の記事 "Google, HTTPS, and device compatibility" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。

世界中の情報を整理し、強固なセキュリティとプライバシーで保護しつつ広くアクセスできるようにするというミッションにおいて、暗号化は基本的な構成要素です。今から 4 年少し前に、公的に信頼できる認証局(CA)として Google Trust Services を設立したのはそのためです。

公的に信頼される認証局になるまでの道のりは長く、インターネットで特にアクセスの多いサイトの証明書を発行しているなら、なおさらです。

この歩みが始まったときの目標は、5 年以内にルート証明書が十分多くのデバイスに組み込まれ、1 回で長期ルート証明書に移行できるようにすることでした。

現在も、Google のルート証明書の更新が行われていない中古のデバイスがたくさん使われています。

Google Trust Services の証明書を使う際、できる限り多くのクライアントが確実に安全な接続を続けられるようにするには、クロス署名を取得する必要がありました。クロス署名を使うと、すでにデバイスから信頼されている認証局が、そのデバイスの互換性を別の認証局に拡大できます。

パブリック CA の運用における規則では、クロス署名された CA は、クロス署名を提供する側の認証局と厳密に同一の運用、技術、監査の各基準を満たす必要があると規定されています。Google Trust Services は高水準で運用されており、すでに公的に信頼されている CA です。また、すべての主要なブラウザのトラストストアに格納されています。そのため、すでに別の CA からのクロス署名要件を満たしていました。重要な点は、Google の証明書を検証できるようにしたいデバイスで、すでに信頼されている認証局を見つけることでした。そこで、このクロス署名に関して GMO GlobalSign と連携することにしました。現在広く使われているルート証明書の中でも、特に古くから運用されているためです。

なぜここでこのような話をしているかというと、2021 年 12 月 15 日に、現在使用しているプライマリ ルート証明書(Google Trust Services が所有、運用している GlobalSign R2)の有効期限が切れるためです。

Google が発行する証明書を搭載した古いデバイスが問題なく動作を続けられるようにするため、新たな証明書を発行するタイミングで、新しいクロス署名証明書のサービスへの送信を開始します。

ありがたいことに、ユーザーはこの変更に気づくことはないはずです。これは、Google がデプロイしているクロス証明書(GTS Root R1 Cross)は 20 年以上前に作成されたもので、ほとんどのデバイスにおいて信頼されているルート証明書で署名されているからです。

つまり、Google Trust Services の証明書を使用している方やそのお客様は、業界最大級のデバイスの互換性というメリットを引き続き活用できます。

この変更について、質問がある方もいらっしゃるでしょう。特に多く寄せられる質問について、以下に回答を記載します。

デベロッパーまたは ISV として Google API を使用しています。何をする必要がありますか?

認証局は使用するルート CA 証明書を随時変更しています。そのため、Google は現在使用している、または今後使用する可能性がある証明書のリストを常に提供しています。このリストを使っている方は、何も変更する必要はありません。このリストを使っておらず、Google が公開しているガイドに基づく更新をしていない方は、ユーザーが今後の変更にスムーズに対応できるように、これらのルートを使うようにアプリケーションを更新し、定期的にリストを更新する必要があります。

Google Trust Services の証明書を使ってウェブサイトを運用しています。何か変更は必要ですか?

何もありません。Google Trust Services は、多くの Google Cloud のサービスを含む Alphabet のプロダクトやサービスに証明書を提供しています。TLS の設定や管理はこれらのサービスが行ってくれます。

変更が反映されるのはいつですか? 

このクロス証明書を使う証明書チェーンのロールアウトは、2021 年 3 月から始まります。この変更は今年いっぱいをかけてゆっくりとロールアウトし、2021 年 12 月 15 日までに終える予定です。

Google Trust Services を使っているサービスやプロダクトを使用しています。何か変更は必要ですか?ありません。エンドユーザーはこの変更に気づかないはずです。

デバイスがこのクロス署名を使った証明書を信頼していることは、どうすればテストできますか? 

このクロス証明書を使ったテストサイトを作成しています。テストサイトには、こちらからアクセスできます。追加の証明書情報とともに "Google Trust Services Demo Page - Expected Status: good" と表示される場合、そのデバイスで新しい証明書チェーンが正しく動作しています。エラーが表示される場合は、テストしているデバイスの信頼されたルートのリストを更新する必要があります。

このクロス証明書の有効期限はいつですか?また、その有効期限が切れるとどうなりますか? 

クロス証明書の有効期限は、2028 年 1 月 28 日です。今後、クロス証明書がなくても多くのデバイスとの互換性を確保できるようになったと考えられれば、この追加の証明書は不要になるため、証明書要求者への提供を停止する予定です。

クロス署名を信頼しない古いデバイスを使っています。どうすればよいですか? 

多くのデバイスは、セキュリティ パッチ処理の一環としてルート証明書の更新をします。そのようなデバイスを使っている場合は、関連するすべてのセキュリティ アップデートを確実に適用してください。お使いのデバイス向けのセキュリティ アップデートをメーカーがもう提供していない場合もあるかもしれません。その場合は、プロバイダに連絡するか、デバイスを換えることを検討してください。

これは Google Trust Services のルートを使えなくなるということですか?Google Trust Services ルートは今後も使用されます。単にそれがクロス署名されるということです。クロス署名を使う必要がなくなれば、証明書要求者にクロス署名を配布することはなくなります。

詳細は、Google Trust Services をご覧ください。

Reviewed by Eiji Kitamura - Developer Relations Team


source https://developers-jp.googleblog.com/2021/04/googlehttps.html

Post a Comment

0 Comments