Chrome Root Program 開始に向けてのお知らせ
2022年10月7日金曜日
この記事は Chrome セキュリティの Ryan Dickson、Chris Clements、Emily Stark による Chromium Blog の記事 "Announcing the Launch of the Chrome Root Program" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
2020 年に、Chrome Root Program と Chrome Root Store の導入に向けた初期段階にあることをお知らせしました。
Chrome Root Program は、Chrome がデフォルトの状態でどのウェブサイトの証明書を信頼するかを決定し、さまざまなプラットフォームでウェブサイトの証明書検証の一貫性と信頼性を向上します。
この投稿では、この変更の最新の進捗状況とともに、それがどのように Chrome ユーザーの保護強化につながるのかについてお伝えします。
ルートストア、ルート プログラムとはChrome は、ユーザーの接続が安全でプライバシーが守られることを保証するために、デジタル証明書(多くの場合、「証明書」、「HTTPS 証明書」、「サーバー認証証明書」と呼ばれます)を使います。証明書にはドメイン名と公開鍵を結び付ける役割があり、Chrome はその公開鍵を使って対象のウェブサイトとやり取りするデータを暗号化します。
Chrome は、ウェブサイトとの間で安全な接続を確立する作業の一環として、証明書が「認証局」(CA)と呼ばれる信頼できる機関によって発行されたものであることを検証します。Chrome やユーザーのローカル設定が認識していない CA が発行した証明書が使われると、ユーザーに警告ページやエラーページが表示される場合があります。
ルートストアは「トラストストア」とも呼ばれ、信頼できる認証局についての情報をオペレーティング システムやアプリケーションに提供します。Chrome Root Store には一連のルート CA 証明書が含まれており、Chrome はデフォルトの状態でその一連の証明書を信頼します。
ルート プログラムは、対応するルートストアの管理に必要な要件やセキュリティ審査の機能を定めるためのガバナンス構造です。Chrome Root Program の責任者は、Chrome セキュリティ チームのメンバーです。Chrome Root Store に含める CA の最小要件を定めたプログラム ポリシーは、こちらで公開されています。
Chrome でこの変更をする理由これまでの Chrome では、Chrome が実行されているプラットフォームが提供するルートストアと証明書検証プロセスを使っていました。しかし、Chrome Root Store に移行して、さまざまなプラットフォーム上の Chrome が信頼する CA を標準化し、Chrome Certificate Verifier を使って一貫した証明書検証を行えば、ユーザーやデベロッパーの体験の一貫性が向上します。
Chrome Root Program の導入は、Web PKI エコシステムへの参画と改善を継続的に推進する姿勢を表明することにもなります。ウェブサイトの所有者は、ACME などの技術革新のおかげで、これまで以上に簡単に HTTPS 証明書を取得できるようになっています。Certificate Transparency などのテクノロジーによって説明責任と透過性が増しているので、Chrome ユーザーのセキュリティはさらに向上しています。こういった機能強化はコミュニティの連携によってのみ実現できるものであり、それによってウェブの安全性は向上します。しかし、実現すべきことはまだあります。
私たちは CA の所有者と連携して、次世代の Web PKI の定義と運用に向かおうとしています。今後のビジョンには、信頼性が高くアジャイルな最新の目的主導型 PKI によって自動化、簡素化、安全性強化を進めることなどが含まれています。Chrome Root Program とそれに対応するポリシーは、このような目的を実現できるように構築しています。
変更のタイミング「ロールアウト」は、新機能を徐々に公開することで行います。スムーズに実施するため、新機能をすべてのユーザーに一度に公開しない場合もあります。その場合は、予期しない互換性の問題を最低限にとどめるため、まず一部のユーザーに公開し、時間をかけながら徐々に公開する比率を増やします。Windows と macOS での Chrome Root Store と Certificate Verifier のロールアウトは、Chrome 105 から始まり、その後、他のプラットフォーム向けにロールアウトします。
Windows と macOS では、こちらの手順に従うことで、前述のロールアウトに先駆けてテストを実施できます。
変更による影響ほとんどのユーザー、企業、CA 所有者は、Chrome Root Store と Certificate Verifier への移行をスムーズに進められるはずです。
Chrome Certificate Verifier の証明書検証プロセスでは、ローカルで管理する証明書も考慮されます。つまり、企業で(Windows Group Policy Object などを通して)ユーザーが信頼できるルート CA 証明書を配布している場合、Chrome もそれを信頼します。
トラブルシューティングの手順やその他のよくある質問は、こちらをご覧ください。
次のステップWeb PKI の将来がどんなものになるかは、私たちにもまだ正確にはわかりません。それでも、スピード、セキュリティ、安定性、シンプルさを向上させる変更を、エコシステム全体で推進することに集中したいと考えています。
Chrome チームは、その点を念頭に置いて、以下の取り組みに関連する今後のルート プログラムのポリシー要件の導入について検討を続けています。
Chrome Root Program は、Chrome がデフォルトの状態でどのウェブサイトの証明書を信頼するかを決定し、さまざまなプラットフォームでウェブサイトの証明書検証の一貫性と信頼性を向上します。
この投稿では、この変更の最新の進捗状況とともに、それがどのように Chrome ユーザーの保護強化につながるのかについてお伝えします。
Chrome は、ウェブサイトとの間で安全な接続を確立する作業の一環として、証明書が「認証局」(CA)と呼ばれる信頼できる機関によって発行されたものであることを検証します。Chrome やユーザーのローカル設定が認識していない CA が発行した証明書が使われると、ユーザーに警告ページやエラーページが表示される場合があります。
ルートストアは「トラストストア」とも呼ばれ、信頼できる認証局についての情報をオペレーティング システムやアプリケーションに提供します。Chrome Root Store には一連のルート CA 証明書が含まれており、Chrome はデフォルトの状態でその一連の証明書を信頼します。
ルート プログラムは、対応するルートストアの管理に必要な要件やセキュリティ審査の機能を定めるためのガバナンス構造です。Chrome Root Program の責任者は、Chrome セキュリティ チームのメンバーです。Chrome Root Store に含める CA の最小要件を定めたプログラム ポリシーは、こちらで公開されています。
Chrome Root Program の導入は、Web PKI エコシステムへの参画と改善を継続的に推進する姿勢を表明することにもなります。ウェブサイトの所有者は、ACME などの技術革新のおかげで、これまで以上に簡単に HTTPS 証明書を取得できるようになっています。Certificate Transparency などのテクノロジーによって説明責任と透過性が増しているので、Chrome ユーザーのセキュリティはさらに向上しています。こういった機能強化はコミュニティの連携によってのみ実現できるものであり、それによってウェブの安全性は向上します。しかし、実現すべきことはまだあります。
私たちは CA の所有者と連携して、次世代の Web PKI の定義と運用に向かおうとしています。今後のビジョンには、信頼性が高くアジャイルな最新の目的主導型 PKI によって自動化、簡素化、安全性強化を進めることなどが含まれています。Chrome Root Program とそれに対応するポリシーは、このような目的を実現できるように構築しています。
変更のタイミング「ロールアウト」は、新機能を徐々に公開することで行います。スムーズに実施するため、新機能をすべてのユーザーに一度に公開しない場合もあります。その場合は、予期しない互換性の問題を最低限にとどめるため、まず一部のユーザーに公開し、時間をかけながら徐々に公開する比率を増やします。Windows と macOS での Chrome Root Store と Certificate Verifier のロールアウトは、Chrome 105 から始まり、その後、他のプラットフォーム向けにロールアウトします。
Windows と macOS では、こちらの手順に従うことで、前述のロールアウトに先駆けてテストを実施できます。
変更による影響ほとんどのユーザー、企業、CA 所有者は、Chrome Root Store と Certificate Verifier への移行をスムーズに進められるはずです。
Chrome Certificate Verifier の証明書検証プロセスでは、ローカルで管理する証明書も考慮されます。つまり、企業で(Windows Group Policy Object などを通して)ユーザーが信頼できるルート CA 証明書を配布している場合、Chrome もそれを信頼します。
トラブルシューティングの手順やその他のよくある質問は、こちらをご覧ください。
Chrome チームは、その点を念頭に置いて、以下の取り組みに関連する今後のルート プログラムのポリシー要件の導入について検討を続けています。
- 最新インフラとアジリティの推進
- シンプルさの重視
- 自動化の推進
- 誤発行の削減
- 説明責任とエコシステムの整合性の向上
- ドメイン検証手続きの効率化と改善
- 「量子後」の世界に向けた準備