1. HOME
  2. 製品・サービス
  3. SureServer
  4. 製品技術情報
  5. Certificate Transparency について

Certificate Transparency(CT)について

2015 年 2 月 2 日公開

2016 年 8 月 25 日更新

本ページでは、SSL サーバー証明書(以下、証明書)の信頼性を高めるための新しい技術、「Certificate Transparency(以下、CT) 」について、ご案内いたします。

BLOG 記事:Chrome 53 から Certificate Transparency の何が変わる?
Chrome の仕様変更は、サイバートラスト・DigiCert の SSL/TLS サーバー証明書には影響はありません

1. 概要

近年、認証局がハッカーにより不正アクセスを受けて偽の証明書を発行されたり、認証局が誤って不適切な証明書を発行する、ということがありました。

認証局から発行された偽の証明書や不適切な証明書は、本物の WEB サイトのように偽装された WEB サイトで使用されていても、SSL クライアント(PC ブラウザなど)は不正な証明書であることを検知できず、フィッシングの危険性が高まります。

CT は、不正な証明書を早期に発見・検知するための仕組みとして Google 社により考案され、2013 年に「RFC 6962」として規格化されました。

2. 影響

2015 年 3 月 30 日時点では、Google Chrome (バージョン 41.0.2272.89 m 以降)で SSL 接続を行う際のアドレスバーの表示に影響があります。

※SSL通信は従来同様に可能です。また、セキュリティ警告やエラーが表示されるものではありません。
※他のブラウザでは、引き続きアドレスバーは緑色になります。

◆CTに対応した証明書を適用した場合の表示例(Google Chrome)

・EV 証明書では従来同様にアドレスバーが緑色に変化し、組織名が表示されます。(EV表示)

CT対応の表示例
▼Chrome 35 ~ 44(クリックで詳細表示)

・「透明性に関する情報」の詳細情報を表示可能です。
※「透明性に関する情報」のリンク表示と「署名付き証明書タイムスタンプビューア」は Chrome 45 から非表示となりました。

CT対応の表示例
▼Chrome 45 ~ 49(クリックで詳細表示)
CT対応の表示例
▼Chrome 50 ~

CTに関するメッセージは表示されません。

◆CTに非対応の証明書を適用した場合の表示例(Google Chrome)

2015 年 1 月 1 日以降に発行されたCTに非対応のEV証明書を適用した場合、アドレスバーが緑色に変化せず、組織名が表示されません。
(DV/OV証明書と同じ表示になります。)

CT非対応の表示例
▼Chrome 33 ~ 49(クリックで詳細表示)

・「証明書の透明性に関する情報がサーバーから提供されませんでした。」と表示されます。

CT非対応の表示例
▼Chrome 50 ~

CTに関するメッセージは表示されません。

3. 対応方法

CT に対応するためには、SCT(CT 対応の値)が含まれている CT 対応の SSL サーバー証明書が必要です。
▼CT 対応証明書の例
CT非対応の表示例

■CT対応証明書の提供開始日

サイバートラストは、2015 年 3 月 28 日(土) 21:00 以降の発行分より、CT に対応したサーバー証明書の提供を開始いたしました。

■CT対応証明書のお申し込み・ご利用方法

ご選択いただいた商品に関わらず、従来のお手続きのままで、CT対応の証明書もおおよそ4時間以内に自動発行されます。

  1. 申請サイト(SureBoard/SureHandsOn)から、従来通りの手順で証明書の発行申請を行います。
  2. 従来の証明書が発行された後、おおよそ4時間以内にCT対応証明書が自動発行され、下記のメールが届きます。(従来の証明書は、証明書が発行されてすぐにダウンロードいただけます。)
    1通目 従来の証明書 SureServer X年 証明書発行のお知らせ-受付番号:[XXXXXXXX]
    2通目 CT対応の証明書 【CT対応】SureServer X年 証明書発行のお知らせ-受付番号:[XXXXXXXX]
    ※特定条件下における Firefox のエラーについて

    従来の証明書と自動発行されたCT対応の証明書のみ、同じシリアル番号となります。
    以下の条件をすべて満たす場合、Firefox でエラーが発生します。

    • ・従来の証明書 / CT 対応の証明書を設定済みのサーバーにおいて、同じシリアル番号の別の証明書を再設定
       ※従来の証明書と自動発行されたCT対応の証明書のいずれか一方のみを設定する場合は発生しません。
    • ・再設定前の証明書が設定されているときに Firefox から接続したことがある環境で Firefox のリロードボタンやキーボードの F5 ボタンやなどで再読み込みを行う
    ■ ご対応

    Firefoxのエラーを解消するためには、以下のいずれかの対応が必要です。

    1. Firefox でキャッシュクリア後に Firefox を再起動します。
    2. 別のシリアル番号をもつ証明書を取得いただき、サーバーで証明書を再設定します。
      ※証明書の再発行が必要となりますので、総合受付()までお問い合わせください。
  3. ご希望に合わせ、従来通りの証明書または CT 対応の証明書をダウンロードのうえ、お使いの機器へ設定します 。

※CSR の作成方法や審査は従来と同様です。
※従来の証明書と CT 対応の証明書のどちらもご利用いただけます 。

なお、2015 年 1 月 1 日 から 2015 年 3 月 28 日 21:00 までに発行された対象の証明書をご利用中のお客様でChrome の EV 表示を重視される場合につきましては、無償で再発行を承りますので、総合受付( )までお問い合わせください。

4. CTの仕組み

不正な証明書が発行されていないか監視するため、認証局から発行された証明書を「Certificate Logs (以下、ログサーバー)」に登録します。その際、「Signed Certificate Timestamp(以下、SCT)」というタイムスタンプが証明書ごとに紐付られます。

このログサーバーはパブリックに公開されているため、証明書登録や内容の閲覧はだれでも可能です。

CT 対応の PC ブラウザ(※)などから WEB サイトに SSL 接続を行う際、この SCT の値を入手することで、WEB サイトで使用されている証明書がログサーバーに登録されているかどうかを確認することが可能となります。
※2015 年 3 月 30 日時点では、Google Chrome のみ、CT に対応しています。

ログサーバーへの証明書登録およびログサーバーから SCT の情報を取得するための仕組みとして、以下の 3 つの手段があります。
1.X.509v3 Extension
  1. 証明書を発行する認証局はサーバー証明書を発行する前にプレ証明書を作成し、ログサーバーへ送信します。
  2. ログサーバーは SCT 付のプレ証明書を認証局へ送信します。
  3. 認証局は②の情報を基に、SCT 付の証明書を発行します。

サイバートラストでは、「1. X.509v3 Extension」に対応しています。

また、2015 年 1 月 1 日よりも前に発行された EV 証明書は、認証局が Google 社のホワイトリストに登録することで、従来同様に EV 表示が可能なため、サイバートラストはホワイトリストに登録を行いました。

1.X.509v3 Extension
2.TLS Extension
  1. 従来と同様に認証局は証明書を発行します。
  2. SSL 接続時に TLS 拡張を使用して、WEB サイトからログサーバーに証明書を送信します。
  3. ログサーバーは SCT を WEB サイトへ送信します。

広く一般で使用されている機器やクライアント環境にて対応していないため、サイバートラストは対応いたしません。

2.TLS Extension
3.OCSP Stapling
  1. 認証局は WEB サイトへ証明書を発行するとともに、ログサーバーへ送信します。
  2. ログサーバーは認証局へ SCT を送信します。
  3. SSL 接続時、WEB サイトから認証局に OCSP のリクエストをします。
  4. 認証局は SCT 付の OCSP 応答を WEB サイトへ返します。

サイバートラストでは、現時点で対応の予定はございません。

3.OCSP Stapling
page top