偽物のgoogle.comに対するMicrosoftの対応

DigiNotar社のSSL証明書偽装事件の続報が入りました。どうやら、*.*.comや*.windowsupdate.com等の証明書も発行されており、被害は相当なモノになっているようです（参照）。やばいことになってきましたね。

そんなさなかに、Microsoftがセキュリティアドバイザリーを改定しました（こちら）。今回の改定によると、MicrosoftはDigiNotar社の全認証局を信頼しないようにするためのパッチを公開したそうです（こちら）。

今回のパッチの影響をもう少し詳しく見てみましょう。Windowsでは、証明書を利用するためには、証明書を証明書ストアに登録しなければなりません。この証明書ストアには「信頼されていない認証局」というカテゴリーがあり、このカテゴリーに登録された証明書（と、その下位のCAが発行した証明書）は証明書の検証時に信頼されていない証明書として取り扱われます。

実際に証明書ストアを見てみましょう。Windowsの証明書ストアはcertmgr.mscを起動すると閲覧できます。パッチを当てる前の証明書ストアの「信頼されていない証明書」を見てみると、こんな感じです。（うっは、結構入ってるじゃんw）

パッチを適用後の「信頼されていない証明書」はこんな感じになります。ピンクで示した部分がパッチを適用することによって登録された証明書です。5つのCA証明書が「信頼されていない証明書」登録されました。

では、パッチを適用した状態で偽物のgoogle.comの証明書を検証したらどのようになるのでしょうか。実験してみました。（DigiNotar社のルート認証局証明書と中間認証局証明書を証明書ストアにインポートしています）。全般タブでは失効として扱われています。

パス検証のタブを見ると、本来CA証明書のCNが表示されるところに、「Untrusted」と表示されます。ちゃんと「信頼されていない認証局」として認識されるようです。

今回の事件の真相は未だ判明していませんが、PKI業界で仕事をしている身としては強い危機感を感じます。今後は認証局や登録局に対する攻撃が増えることも予想され、PKIという技術そのものに対する信頼が崩れてしまうことも考えられます。PKI業界は今回の教訓を生かしてより信頼できる体質になるべく努力を惜しむべきではありません。対策が後手になればなるほど傷は広がります。PKIが生まれて三十余年、今、PKI業界は信頼できるインフラとしての地位をかけた生存競争の時代に突入したのかもしれません。