Google、認証局EntrustをChromeの信頼リストから除外へ

画像提供：マイナビニュース

Google Chromeチームはこのたび、「Google Online Security Blog: Sustaining Digital Certificate Security - Entrust Certificate Distrust」において、認証局「Entrust」が発行するTLS証明書をChromeのルートストアから除外する方針を発表した。対象となるのは最も古いSCT（署名付き証明書のタイムスタンプ）の日付が2024年10月31日以降のEntrustまたはAffirmTrustが発行した証明書。2024年11月1日ごろから、該当するサーバ証明書を使用するWebサイトにアクセスしようとしたユーザーには画面の警告が表示されるようになる。
○2024年11月1日以降、警告を表示

通常Webサーバは、第三者の認証局によって発行されたデジタル証明書を使用してその身元の正当性を表明し、Webブラウザとの安全な接続を確立するために公開暗号鍵を提供する。Webブラウザ側では、証明書を発行した認証局を確認した上で、それが信頼できる機関であれば接続を開始する。

信頼できる認証局であるかどうかはWebブラウザの開発ベンダーによって検証され、あらかじめリスト化されてWebブラウザ内に保持されている。これは一般的にルートストアと呼ばれており、Webブラウザでは定期的にルートストアを最新化することで安全性を維持している。

EntrustはChromeのルートストアにリストされている認証局の一つだが、GoogleはChrome 127以降でリストから除外することを決めたという。Googleでは過去6年間にわたってEntrustに対してコンプライアンス違反に対する改善を要求していたものの、その約束が実行されなかったことから、これ以上Entrustを信頼し続けるのはユーザーのリスクを増やすと判断したとのこと。

この処置はWindows、macOS、ChromeOS、Android、LinuxのChrome 127以降のバージョンで実施される。開始のタイミングは2024年11月1日頃とされており、その時点以降に発行された証明書を使用するWebサイトにユーザーがアクセスした場合に影響を受けることになる。具体的には、信頼できないWebサイトであるという旨の警告が表示され、安全ではないことを認識した上でなければアクセスできなくなる。