米Googleは現地時間2015年4月1日、中国インターネット情報センター(CNNIC:中国互聯網絡信息中心)の証明書を今後信用しないと発表した。複数の海外メディアの報道によると、CNNICは同社の決定を非難している。
同社は3月20日、複数のGoogleドメインに対して不正なデジタル証明書が発行されていることを確認。証明書は「MCS Holdings」というエジプト企業の中間認証局(CA)から発行された。中間CA証明書はCNNICが発行したもので、CNNICはすべての主要ルートストアに含まれているため、ほとんどのブラウザーとOSがその不正デジタル証明書を信用してしまう危険性がある。GoogleはただちにCNNICと他の主要ブラウザーに連絡し、MCS Holdingsのデジタル証明書を遮断する措置をとった。
GoogleはCNNICと共同で調査を行った結果、今後CNNICが新たに発行するルート証明書およびEV証明書をGoogleサービスで認識しないことに決定した。「Chrome」ブラウザーのアップデートで、この決定を反映させる。
GoogleもCNNICもさらなる不正デジタル証明書は確認しておらず、この問題が悪用された兆候もないとしている。Googleによれば、CNNICは将来の問題発生の防止に努め、透かし入り証明書を導入する意向を示しており、Googleは「CNNICの対応を賞賛する」と述べた。
しかしCNNICは4月2日、Webサイト上に抗議の声明を掲載し、「Gooleの決定は理解しがたく、受け入れがたい」と非難した。Googleの決定により、ChromeユーザーがCNNICの認証を受けた新たなWebサイトを訪問しようとすると、警告が表示される可能性が高い(米Wall Street Journal)。
Googleの発表が友好的な様子を見せ、信頼失効が一時的なものであることを示唆していたことを考えると、CNNICの抗議声明は政治的背景が影響した可能性があると英Financial Timesは指摘している。
[発表資料へ]
