Google、CNNICが中間者攻撃用の証明書を発行したと発表

Googleの公式セキュリティブログによると、GoogleはCNNICがGoogleドメイン名に対して中間者攻撃に使用される複数の証明書を発行したことを発見した。 MCS Group という名のこの中間認証局は、複数の Google ドメイン名に対して偽の証明書を発行しており、MCS Group の中間証明書は中国の CNNIC からのものでした。

この証明書は、信頼された Google ドメイン名を偽装し、ネットワーク ファイアウォールに導入されて、ファイアウォールの背後にあるすべての HTTPS ネットワーク通信をハイジャックし、ブラウザの警告を回避します。

Google は CNNIC に連絡し、CNNIC は 3 月 22 日に、CNNIC が MCS に制約のない中間証明書を発行したと回答しました。MCS は、所有するドメイン名に対してのみ証明書を発行するはずでしたが、MCS はそれをファイアウォール デバイスにインストールし、ターゲット ドメイン名を偽装して中間者プロキシとして機能し、暗号化された接続の傍受 (SSL MITM) を実行しました。企業が法的な理由またはセキュリティ上の理由で従業員の暗号化された接続を監視する必要がある場合、その接続を社内イントラネットに制限する必要があります。しかし、ファイアウォール デバイスは、ユーザーが外部サービスにアクセスするときに、管理下にないドメイン名の証明書を発行します。この方法は、証明書信頼システムの規則に著しく違反しています。この説明は事実と一致していますが、CNNIC は依然として MCS が保持するのに適さない証明書を発行しました。

ルート CA として、CNNIC はほぼすべてのオペレーティング システムとブラウザーから信頼されています。Google は、すべての主流ブラウザーにこれらの状況を通知しました。Google Chrome のすべてのバージョン (Windows、OS X、Linux バージョンを含む) と Firefox は、これらの証明書をブロックします。Firefox はバージョン 37 以降、悪用された安全でない証明書をブロックするための証明書ブラックリストを確立する OneCRL メカニズムを導入しました。

この事件は、インターネット証明書発行メカニズムのオープン性と透明性の必要性を改めて示しています。

Google 英語ブログの原文: デジタル証明書のセキュリティの維持

Mozilla 英語ブログ原文: CNNIC 中間証明書の信頼を取り消す

参考：中国インターネットネットワークインフォメーションセンター（CNNIC）は、中華人民共和国国務院の主管部門の承認を得て 1997 年 6 月 3 日に設立されたインターネット管理およびサービス組織です。中国インターネットネットワーク情報センターは設立当初は中国科学院の監督下にあったが、2014年末に中央サイバースペース事務指導小組弁公室と中国サイバースペース管理局の監督下に変更された。

原題: Google、CNNIC が中間者攻撃用の証明書を発行したと発表

キーワード: Google