去る3月24日、グーグルのChrome開発チームのエンジニアがある提案を行った。それは、シマンテックが発行するサーバー証明書を段階的に無効にしようというものだ。
サーバー証明書とは、ECサイトなどでオンライン決済をするときや個人情報を入力するとき、そのサイトが正規なものであり、通信がSSL(Secure Sockets Layer)などのプロトコルに応じて暗号化され、保護されていることを確認するために利用されている。
シマンテックは、ベリサインなどメジャーな認証局を傘下に持つ企業であり、そのサーバー証明書を利用している企業サイトは世界中に広がっている。マイクロソフトのIE(インターネットエクスプローラー)より高いシェアを持つと言われるChromeが、ベリサインなどシマンテックグループの証明書を無効扱いにするとなると、その影響は計り知れない。
特に、ベンチャーや中小企業の自社サイトやサービスサイトでも、SSL対応が広がっている。この問題は多くの企業にとって、他人事ではない。
幸いまだ提案段階で、いつからどのように無効にしていくか(無効にしない選択も含めて)決定したわけではない。そこで、サーバー証明書とは何かを改めて考えながらこの問題を考えてみたい。
安全なインターネットに不可欠なサーバー証明書
Webサイトでクレジットカード決済や個人情報入力などを実行する際、カード情報を盗まれないように通信を暗号化する方法(HTTPS通信)がある。加えて、偽サイトやフィッシングサイト対策として、正規のURLで接続するとブラウザーのアドレスバーが緑色になるしくみ(EV SSL)もある。
どちらもインターネット上のセキュリティを守る基本的な仕組みで、ECサイトやオンラインバンキングでは欠かせない。
HTTPSによる暗号化通信やEV SSLを支えているのがSSL/TLSサーバー証明書であり、証明書の発行は認証局と呼ばれる企業・組織が行う。といっても認証局は特別な許可や認可・免許を受けた企業・組織というわけではなく、インターネットの標準であるRFCに定められた機能と独自に設定した基準を満たして営業または運営されているのが一般的だ。
国や国際機関による中央集権方式の統制管理はないが、WebTrustという認証局の信頼性を判定するプログラムがある。通常認証局と呼ばれる企業・組織は、この試験をパスしている。
