ニュースソース:ICANN
以下は 2017年4月3日に公開されたWays of Trusting Internet Identifiersを要約したものです。
CA(認証局)の信頼性
Google社がGoogle Chromeのブラウザにおいて、シマンテック社発行のトランスポート層セキュリティ(TLS)証明書に対する信頼度を弱めるという判断を下しつつあり、いかにインターネットユーザーに信頼性を提示していくかに関して議論が再燃しています。
SSL/TLS証明書とはWebサイトの安全性を確実にするためのものですが、公開鍵暗号基盤(PKI)は多数あるCA(認証局)がいかなるWebサイトに対してもSSL/TLS証明書を発行できるという状況下にあるため、CAの監督並びに不適切なCAの排除についての規定が課題となっています。
過去20年、Mozilla(Firefox)やGoogle(Chrome)等のブラウザベンダーがCAの監査役を担わねばなりませんでした。
各ブラウザベンダーは信頼性に欠けるCAをどう扱うかについて独自のポリシーを持っています。
主要なブラウザべンダーとCAは、CA/ブラウザフォーラムのメンバーとなっており、CAが従うべきベースラインを策定しますが、メンバーを取り締まる訳ではないため、ブラウザベンダーはCAの信頼性の確認を独自で行わなければなりません。
そのことが先述のGoogleの動きのような、シマンテック社やその他の会社が発行した証明書の規制という強制措置につながる可能性があるのです。
DNSSECは解決策となるか
DNSの安全性を確保しシステムを強化するために、DNSのセキュリティ拡張(DNSSEC)を導入しては、という声もあります。
Web PKIはかなり高確率でWebページの内容の整合性を保護しますが、DNSSECはこれらWebページに誘導するDNSデータの整合性を保護してくれます。
しかし両者は基本的に違う性質のものであり、DNSSECは認証作業をグローバルなトラストアンカーただひとつで、ユーザーのコンピューターが選択したリゾルバによって行います。
グローバルトラストアンカーはDNSSECに利点をもたらします。
インターネットコミュニティはDNS上で信頼性がどのように扱われるのかについて透明性を要求するため、ICANNやTrusted community代表者がそれぞれ役割を果たし対応しています。
テクニカルコミュニティは、DNSSECの信頼の輪の監督プロセスを形成する助けとなっています。
Web PKIは即座に消えることはありませんが、ブラウザとCAとの相互交流方法は発展していく見込みです。
実際、DNSベースの認証であるNamed Entities(DANE)を通じて、Web PKIとDNSSECとの相互作用を改善する動きが進行中です。
インターネット技術標準化委員会のTLSワーキンググループでは、TLSクライアントが追加のDNSレコードの検索をしなくてもTLSサーバ証明書のDANE認証が実行できるように取り組んでおり、それが完了すればDNSSECの信頼できるベストモデルを活用するブラウザにとって興味深いものとなるでしょう。
CA(認証局)の今後の発展
Web PKIのスケールとその未知のアクター数からすれば、インターネットユーザーがDNSの信頼性をいかに確実にするかを問い続けるのは当然の姿でしょう。
ブラウザベンダーはセキュリティ改善に向けさらに措置を講じるでしょう。
DNSSECの展開が広範囲になるにつれ、DNSSECでDNSを保護することで、安全な通信に対するユーザーのより確かな信頼確立に貢献するでしょう。