AWS Certificate Manager (ACM) が Certificate Transparency (CT) をサポートするための準備

2018年4月30日 より、Google Chrome は全ての公式に信頼する証明書は少なくても 2 箇所の Certificate Transparency ログに記録されている事を必須条件とします。これにより Google Chrome ではログに記録されていない発行済の証明書にはエラーメッセージが表示される事になります。2018年4月24日より、お客様が Certificate Transparency ログへの記録を無効にしない限り、アマゾンは全ての新規や更新した証明書について少なくても 2 箇所以上の公開ログに記録を行うようにします。

Certificate Transparency ログが無い場合、所有するドメイン名に対する予期しない証明書発行を把握することは難しいでしょう。現行システムでは、発行された証明書の記録は保管されておらず、ドメインの所有者は不正な証明書を見つける信頼性のある方法はありませんでした。

この状況に対処するために、Certificate Transparency は発行された各証明書についての暗号化技術による安全なログを実現します。ドメインの所有者は間違いや悪意で発行されたものも含め、予期しない証明書を見つけるためにログを検索することができます。また、ドメインの所有者は不適切に証明書を発行している認証局 (CA) を見つける事も可能です。このブログ記事では、Certificate Transparency についてより詳細に説明し、どうやって準備をすればよいのかお伝えします。

Certificate Transparency どのように機能にしますか？

認証局が公式に信頼される証明書を発行する時に、認証局は 1 箇所以上の Certificate Transparency ログサーバに証明書を送信しなければなりません。Certificate Transparency ログサーバは、ログサーバが証明書を既知の証明書一覧に追加した事を確認する Signed Certificate Timestamp (SCT) を付けて応答を返します。SCT はその証明書に埋め込まれ、ブラウザが Web サイトにアクセスした際に自動的に届けられます。SCT はその証明書が Certificate Transparency ログに登録された事を証明するレシートのようなものです。4月30日より、Google Chrome がエラーメッセージを表示せず証明書を信頼するには、 Certificate Transparency ログに登録された事の証拠として SCT を必須条件とするようになります。

アマゾンは Certificate Transparency をサポートするために何をしますか？

Certificate Transparency は良い活動です。AWS のお客様が認証局で許可しない証明書が発行されていない事をより確信できるようになります。2018年4月24日より、アマゾンはお客様が Certificate Transparency ログへの記録を無効にしない限り、全ての新規や更新の証明書を少なくても 2 箇所の Certificate Transparency ログに記録するようにします。

私達はお客様が証明書をログに記録したくない時があることを認識しています。例えば、未発表製品の Web サイトを構築中で newproduct.example.com のようなサブドメインを登録しているような場合、ドメイン名に対する証明書をログに記録することで新製品がもうすぐ発売される事を公にしてしまいます。また、Certificate Transparency ログは秘密にしておきたいサーバのホスト名をさらしてしまうことにもなります。payments.example.com のようなホスト名は、サーバの目的を公開し、プライベートネットワークについての情報を攻撃者に与えることになります。これらの理由から、2018年3月27日より ACM の API や AWS CLI を使って証明書単位で Certificate Transparency ログへの記録を無効にできるようになります。無効にすることで Google Chrome ではエラーが表示されるようになってしまいますが、情報を公開してしまうよりは望ましい場合があるかと思います。2018年3月27日に近づくまでに、Certificate Transparency ログへの記録を無効にする方法を AWS セキュリティブログにて紹介します。なお、Certificate Transparency ログには秘密鍵は決して記録されません。

最後に

2018年4月24日より、ACM はデフォルトで全ての新規や更新した証明書についてログを記録するようになります。もし、証明書がログに残らないようにしたい場合は、AWS API あるいは CLI でオプトアウト（明示的な操作で無効にする）が必要になります。ただし、Google Chrome で証明書が信頼されるためには、全ての発行されたり、インポートされた証明書には 2018年4月30日 までに証明書に SCT 情報が埋め込まれている必要があります。

【訳注】Google の記事に詳細が記載されていますが、これまでに発行された証明書やこれから2018年4月24日までに ACM で発行される証明書には SCT 情報が付いていませんが、SCT 情報が付いて無くても Google Chrome でエラーメッセージが表示されるなどの影響は現時点では予定されていません。

このブログ記事にコメントがある場合は、このブログ記事（翻訳元記事）の最後にあるコメントセクションに書き込んでください。あるいは、質問がある場合はACM フォーラムに新しいスレッドを作成して下さい。

– Jonathan (翻訳は SA 辻 義一 が担当しました。原文はこちら)