証明書の透明性

証明書の透明性 (CT)、その重要性、最近の開発状況、および Web セキュリティの将来の方向性について説明します。

関連コンテンツ

学び続けたいですか?

SSL.com のニュースレターを購読して、最新情報を入手し、安全を確保してください。

記事のリンクをコピーする

証明書の透明性(CT)は、SSL/TLSの整合性と信頼性を高めるためにGoogleが開始したオープンフレームワークおよびセキュリティプロトコルです。TLS 証明書システム。その主な目的は、証明機関 (CA) による誤った発行や、信頼できる CA からの悪意のある取得による SSL 証明書の不正使用を検出し、防止することです。

CTの継続的な重要性

CT は、Web セキュリティを維持する上で依然として重要な要素です。これにより、ブラウザ、CA、ドメイン所有者、セキュリティ研究者などのさまざまな関係者が、証明書が正しく発行されていることを確認し、証明書エコシステム内の潜在的な脆弱性や攻撃を特定できます。

CT の仕組み: 復習

  • 証明書ログ: CA は、新しく発行された証明書を、公開アクセス可能な追加専用ログ サーバーに公開します。
  • 署名証明書タイムスタンプ (SCT): 証明書がログに記録されると、ログ サーバーは証明書が含まれていることの証明として SCT を発行します。
  • 監視と監査: 独立したサービスが継続的にログを監視し、疑わしいアクティビティがないか確認し、その整合性を検証します。

最近の動向と業界での採用

CT は、その誕生以来、幅広く採用され、継続的に改良されてきました。

  • 普遍的な要件: 30 年 2018 月 XNUMX 日以降、Google Chrome では公的に信頼されているすべての証明書に対して CT が必須となっています。このポリシーは、他の主要なブラウザでも広く採用されています。
  • ログエコシステムの成長: 適格な CT ログの数が増加し、システムの堅牢性と信頼性が向上しました。
  • 他のセキュリティ対策との統合CT は、より包括的なセキュリティ フレームワークを作成するために、CAA (Certificate Authority Authorization) レコードや DANE (DNS ベースの名前付きエンティティの認証) などの他のセキュリティ プロトコルと組み合わせて使用​​されることが増えています。
SSL.com でオンライン プレゼンスを保護しましょう
SSL.comは包括的なSSL/TLS CT 要件に完全に準拠し、既存のインフラストラクチャとシームレスに統合される証明書ソリューション。

お問い合わせ

プライバシーの問題への対処

証明書の透明性によりセキュリティが大幅に強化される一方で、プライバシーに関する考慮事項もいくつか生じます。

ドメイン列挙: CT ログは公開されているため、攻撃者がそれを使用して組織のインフラストラクチャをマッピングする可能性があります。

緩和戦略:

  • ワイルドカード証明書の使用(例:*.example.com): 特定のサブドメインを隠蔽し、内部サブドメイン構造の露出を制限します。
  • プライベートの実装 PKI 機密性の高い内部システム向けのソリューション: 内部環境内での証明書の発行と信頼をより細かく制御できます。
  • CT編集技術の活用: 証明書の透明性ログ内の機密サブドメイン情報の公開を制限します。
  • 証明書の編集: CT 編集技術を使用して、証明書の透明性ログ内の特定のサブドメインを非表示にします。
  • 定期的な再発行と鍵の再発行: 証明書の複雑さを短期間で回避しながらセキュリティを維持するために、証明書を頻繁に再発行し、キーをローテーションします。
  • ランダム化されたサブドメイン: 内部システムの目的と構造を不明瞭にするために、説明的でないサブドメイン名またはランダム化されたサブドメイン名を使用します。
  • スプリットホライズン DNS: 内部ドメイン名が外部で解決されるのを防ぎ、内部システムを非公開のままにします。
  • CTログの監視: 証明書の透明性ログを積極的に監視し、不正な証明書の発行を迅速に検出して対処します。
  • 認証局認可 (CAA) レコード: CAA DNS レコードを構成して、ドメインに対して証明書を発行できる証明機関を制限します。
  • 暗号化されたクライアント こんにちは (ECH): サーバー名表示(SNI)を暗号化します。 TLS ハンドシェイクにより、サブドメイン情報が傍受されるのを防ぎます。
  • アプリケーション層セキュリティ: 相互のセキュリティ対策などの追加セキュリティ対策を実施 TLS (mTLS)またはアプリケーションレベルの暗号化により、SSL/TLS 証明書。
  •  

証明書管理への影響

ほとんどのユーザーと組織では、CT はバックグラウンドでシームレスに動作します。ただし、次のような点を考慮する必要があります。

  • 証明書ライフサイクル管理: 組織は証明書の CT ステータスを認識し、ブラウザの要件に準拠していることを確認する必要があります。
  • 監視ツール現在、多くの証明書管理プラットフォームでは、CT ログ監視を機能として提供しており、組織は証明書を追跡し、不正な発行を検出できます。

今後の方向性

CT が進化し続けると、次のことが期待できます。

  • 強化された統合: CT と他の Web セキュリティ標準およびプロトコルとのさらなる統合。
  • 改善されたプライバシー機能透明性とプライバシーの懸念のバランスをとるためのより洗練された方法の開発。
  • ウェブを超えた拡張 PKI: コード署名や電子メールの暗号化など、サイバーセキュリティの他の領域への CT 原則の潜在的な適用。

まとめ

証明書の透明性は、より安全で透明性の高いインターネットの実現に大きく貢献します。プロトコルが成熟するにつれ、サイバー脅威からの防御とオンライン通信の整合性の維持において、ますます重要な役割を果たすようになります。

組織内でCTを実装するための詳細情報や具体的なお問い合わせについては、認証局にご相談いただくか、こちらからお気軽にお問い合わせください。 お問い合わせ.

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。

調査する