Let's Encryptプロジェクトは、バックエンドのコードに不具合が発見されたとして、2020年3月4日の午前0時(協定世界時〈UTC〉、日本時間では午前9時)に300万件を超えるTLS証明書を失効させる計画だ。
具体的には、この不具合は、Let's EncryptプロジェクトがTLS証明書を発行する際に、ユーザーやドメインの検証に使用していたサーバーソフトウェア「Boulder」に発見されたものだ。
問題があったのはCAAの検証処理
問題になったのは、BoulderのCAA(Certificate Authority Authorization)の実装だ。
CAAは2017年に承認されたセキュリティ標準で、ドメイン所有者が、意図しない認証局(CA、TLS証明書を発行する組織)から所有ドメインの証明書が発行されることを防げるようにするためのものだ。
Let's Encryptは、米国時間2月29日にフォーラムに投稿された記事で、Boulderの不具合によってCAAチェックが正常に行われていなかったことを明らかにした。
Let's Encryptのチームは、2月29日に実施した2時間のメンテナンス中にこの不具合を修正しており、現在は正常にCAAフィールドが検証されるようになっているという。
同プロジェクトは、この不具合が悪用された可能性は非常に低いと述べている。
いずれにせよLet's Encryptは、CA/Browser Forumで定められた業界ガイドラインに従い、適切なCAAチェックなしで発行された全ての証明書を失効させると発表した。
影響を受けるのは有効な証明書1億1600万件のうち300万件のみ
Let's Encryptは、この問題の影響を受ける証明書の数は、同プロジェクトが発行した現在有効なTLS証明書1億1600万件のうち、わずか2.6%の304万8289件だと述べている。
この300万件のうち、100万件は同じドメイン・サブドメインに重複して発行されたものであり、実際に影響を受ける証明書は約200万件だという。
Let's Encryptは、2020年3月4日午前0時(UTC)に全ての証明書を失効させる計画だ。
この時点以降、対象となる全ての証明書は、ブラウザーやその他のアプリケーションでエラーを引き起こすようになる。ドメイン所有者は、新しいTLS証明書をリクエストし、古い証明書と入れ替える必要がある。
Let's Encryptは、影響を受けるドメイン所有者にメールで通知しているが、中には連絡先が正しくなく、連絡できないケースがあるという。
Let's Encryptの証明書を使用しているシステム管理者やウェブマスターは、このページの影響を受けるTLS証明書のシリアルナンバーのリストを参照するか、このページで証明書のドメイン名を入力することで、自分のサイトが影響を受けるかどうかを確認できる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。