サイバートラスト

サイバートラスト ジャーナル

RSSフィード

Mozilla FireFox、SHA-1 の段階的廃止に「失敗」? 「いや、一時的な後退です」

2016年01月21日

2016 年 1 月 16 日の Mozilla のセキュリティブログ "Man-in-the-Middle Interfering with Increased Security"(Man-in-the-Middle(MITM:中間者)は、セキュリティ向上を妨害) を受け、Google グループ mozilla.dev.security.policy 中の SHA-1 証明書の段階的な廃止に関するアップデートの議論の中で、以下のようなやり取りを見かけました。

We failed because of MITM certs.
(我々は中間者証明書のために(SHA-1 の段階的廃止を)失敗した。)

"Failed" might be a bit strong :) We had a temporary setback.
("失敗"はちょっと強いかも:) 一時的な後退だよ。)

訳が拙いのはご容赦ください。

元々、パブリックな認証局は、SHA-1 の SSL/TLS 証明書を今年 2016 年 1 月 1 日から発行してはいけない(MUST NOT)ことになっています。ブラウザベンダーが認証局に対して準拠を必須としている、CABF(CAブラウザフォーラム) の Baseline Requirements (PDF) で規定されているためです。

Mozilla はこれに合わせ、今年 2016 年 1 月 1 日以後に発行された(本来存在しないハズの) SHA-1 証明書が使われた場合には、FireFox 43 からアラートを表示して、接続できないようにするとしていました(昨年 2015 年 10 月の Mozilla セキュリティブログ "Continuing to Phase Out SHA-1 Certificates")。

実際、その通りに FireFox 43 を用意し、昨年 2015 年 12 月 28 日にリリースされた FireFox 43.0."3" では、発行日が 2016 年 1 月 1 日以後の SHA-1 証明書を使うサイトに接続すると、以下のようなアラート画面が表示されるようになっていました。

しかし、です。
Mozilla は、今年 1 月 6 日に急きょ FireFox 43.0."4" をリリースし、該当の SHA-1 証明書でもアラートなしに、普通に接続できるように戻してしまいました。
FireFox 43.0.4 のリリースノートにも、『変更: SHA-1 を利用する証明書を再び受理するようになりました (Bug 1236975)』とあります。

冒頭の Mozilla のセキュリティブログによると、ウイルスチェックや、その他のセキュリティ上のチェックを行う装置やソフトウエアによっては、SSL/TLS の通信の途中に入り(Man-in-the-Middle)、SSL/TLS 通信を一度受けて復号化し、内容チェックの後、別の SSL/TLS 通信として、後段にいるブラウザ(この場合は FireFox)とやり取りするものがあり、その後段の SSL/TLS 通信用に同装置/ソフトウエアが都度用意する内部的な SSL/TLS 証明書が、依然 SHA-1 のものがあるとのことです。
この場合、都度用意される SSL/TLS 証明書は 2016 年 1 月 1 日以後の日付となり、かつ SHA-1 証明書のため、FireFox 利用者は毎回アラート画面に遭遇し、普通に SSL/TLS 通信を利用することできない、とのことのようです。確かに SHA-1 の利用は今後控えていくほうが良いけれども、いきなり SSL/TLS 通信が使い物にならなくなって、アラートを無視して何でも OK にしたり、HTTP を使いだしたりしたら本末転倒ということなのでしょう。

結局、急きょ、FireFox 43.0."4" のリリースとなり、これを受け、「失敗だ」、「(いや)一時的な後退だよ」とのやり取りに。「失敗」の発言に、悔しさが滲み出ていると感じるのは私だけでしょうか。

とは言え、SHA-1 証明書については、引き続き Mozilla は段階的廃止をコミットすると言っています。前述の Baseline Requirements の内容に沿えば、2017 年 1 月 1 日からは、SHA-1 証明書に対し、発行日にかかわらずアラートを表示(SHA-1 を廃止)するのが順当ということになりますが、それを 2016 年 7 月 1 日に前倒すことの実現可能性についても Mozilla は検討している、とも。引き続き、注視したいと思います。

  • 前の記事へ
  • HOME
  • 次の記事へ