Chromeルートプログラム、HTTPS証明書の安全性向上へ-レガシーなドメイン検証方式を段階的に廃止
ChromeルートプログラムとCA/Browser Forumが、HTTPS証明書のドメイン検証(DCV)方法を刷新。2028年3月までに11のレガシー方式を廃止し、自動化・暗号化による安全な代替手段へ移行を促進。
Chromeルートプログラム、HTTPS証明書のセキュリティ強化に向けレガシーなドメイン検証方式を段階的に廃止
マウンテンビュー、カリフォルニア州 – ChromeルートプログラムとCA/Browser Forumは、現代のウェブセキュリティを強化するための重要な取り組みとして、HTTPS証明書における11のレガシードメイン制御検証(DCV)方式を段階的に廃止する新要件を採用したことを発表しました。この変更は、CA/Browser Forumの最近の投票(SC-080、SC-090、SC-091)に基づくもので、電子メール、電話、郵便などの脆弱な検証方法を廃止し、自動化された暗号的に検証可能な代替手段を推進します。完全な移行は2028年3月までに完了する予定で、ウェブサイト運営者に適応のための猶予期間を提供します。
ドメイン制御検証(DCV)の重要性
ドメイン制御検証(DCV)は、TLS証明書が正当なドメイン運営者にのみ発行されることを保証する重要なセキュリティプロセスです。堅牢なDCVがなければ、攻撃者が不正にドメインの証明書を取得し、なりすまし攻撃やトラフィックの傍受を可能にする恐れがあります。従来、認証局(CA)はWHOIS検索や電子メールベースの検証などの間接的な方法に依存していましたが、これらは悪用される可能性が高いことが判明しています(例:WatchTowrのRCEからドメイン乗っ取りに至る攻撃)。
現代のDCV方式は、チャレンジ・レスポンスメカニズムを活用しており、DNS TXTレコードにランダムな値を配置したり、**Automated Certificate Management Environment(ACME)**プロトコル(RFC 8555)を使用することで、ドメイン所有権の強力かつ監査可能な証明を提供します。これにより、証明書のライフサイクル管理を自動化し、迅速な対応が可能になります。
廃止される検証方式
新要件の下で段階的に廃止されるレガシーDCV方式は以下の通りです:
電子メールベースの検証(廃止)
- ドメインコンタクトへの電子メール、ファックス、SMS、郵便
- IPアドレスコンタクトへの電子メール、ファックス、SMS、郵便
- ドメインコンタクトへの構築済み電子メール
- DNS CAAコンタクトへの電子メール
- DNS TXTコンタクトへの電子メール
電話ベースの検証(廃止)
- ドメインコンタクトへの電話
- DNS TXTレコードの電話コンタクトへの電話
- DNS CAAの電話コンタクトへの電話
- IPアドレスコンタクトへの電話
逆引き検証(廃止)
- IPアドレス検証
- 逆アドレスルックアップ
影響と業界のシフト
これらの変更はエンドユーザーには透過的ですが、古いWHOISデータや継承されたインフラへの依存を排除することで、攻撃対象領域を大幅に縮小します。この移行は、Googleが2022年に発表した**「Moving Forward, Together」**ロードマップに沿ったもので、ACMEのような自動化と標準化されたプロトコルを通じてセキュリティインフラを近代化することを目指しています。
ウェブサイト運営者にとっては、強力なDCV方式への移行に向けた数年の移行期間が設けられています。組織は以下の対策を推奨します:
- ACMEベースの証明書発行(例:Let’s Encrypt)への移行により、自動化された暗号的に安全な検証を実現。
- 既存の証明書発行ワークフローの監査により、廃止予定のDCV方式を特定し、置き換え。
- DNSベースのチャレンジ(例:DNS TXTレコード)を活用し、より堅牢なドメイン検証を実施。
より広範なセキュリティへの影響
この取り組みは、HTTPS証明書のセキュリティ基準を引き上げる業界全体の努力の一環です。脆弱な検証方式を廃止することで、CA/Browser ForumとChromeルートプログラムは、不正な証明書発行のリスクを低減し、中間者(MITM)攻撃やドメインスプーフィングを防ぎます。また、証明書管理の俊敏性と耐障害性を向上させ、新たな脅威に対する迅速な対応を可能にします。
ウェブの進化に伴い、これらのアップデートは、ブラウザやプラットフォームを問わず、すべてのユーザーに恩恵をもたらす信頼メカニズムの近代化を確実なものにします。
関連資料: