Microsoftは米国時間12月17日、同社の「Trusted Root Certificate Program」(ルート証明書プログラム)に対する参加条件を厳格化し、要件を満たさない認証局(CA)が提供する一部のルート証明書を削除する計画だと発表した。
Microsoftのガバナンス/リスク管理/コンプライアンス(GRC)を担当するエンタープライズおよびセキュリティ関連のグループプログラムマネージャーを務めるAaron Kornblum氏は、同社が承認した世界各地のCAからのルート証明書を受け付けるという同プログラムについて、信頼性が揺らぐおそれがあることを示唆した。
同氏は、このプログラムに参加したCAの証明書は、ユーザーが使用している機器に送り届けられるようになると述べた。こういった証明書によって、どのプログラムやアプリ、ウェブサイトがMicrosoftによって信頼されているのかがユーザーの機器に伝えられるため、悪意のある、あるいはその疑いがあるウェブサイトを訪問した際や、システムに悪影響を与える可能性のあるソフトウェアをダウンロードしようとした際にユーザーに対して警告を出せるようになる。
ただ同社は、サイバーセキュリティの状況が変化し、デジタルな世界での脅威が増加している現状を考えると特に、このプログラムがユーザーの安全を確保するうえでまだ十分ではないと感じている。
Microsoftは複数のCAとの協議を続けた結果、このプログラムに変更を加えるとの決定を下した。
そして同社は、Trusted Root Certificate Programに対してより厳格な規則と技術規定、監査手段を導入した。こうした新要件を満たせないCA、あるいは同プログラムからの脱退を選択したCAのデジタル署名は、2016年1月をもって削除されることになる。
その結果、これらのルート証明書に基づく認証に依存しているサービスが影響を受ける。例えば、これらの証明書の1つを使ってHTTPSによるサーバへの接続を確立している場合、ユーザーがサイトを閲覧しようとした際に警告が表示される。また、これらの証明書の1つを使ってソフトウェアに署名している場合にも、ユーザーがそのソフトウェアを「Windows」上にインストールしようとすると警告が表示される。
削除対象のリスト
※編集部注:当初「20の証明書を削除」としていましたが、削除対象となる証明書のリストが更新されたため、2015年12月22日に本文と画像を更新しました。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
