ロシアは、制裁により証明書の更新ができなくなり、ウェブサイトへのアクセス問題を解決するため、信頼できる独自のTLS認証局(CA)を創設していたことがわかりました。
欧米の企業や政府による制裁措置により、ロシアのサイトが既存のTLS証明書を更新できなくなり、ブラウザが期限切れの証明書を持つサイトへのアクセスをブロックする事態が発生しています。
ロシアに制裁を課している国に拠点を置く署名機関は、そのサービスに対する支払いを受けられなくなり、多くのサイトが期限切れの証明書を更新する手段を失っています。
証明書の有効期限が切れると、Google Chrome、Safari、Microsoft Edge、Mozilla FirefoxなどのWebブラウザは、ページ全体に安全でない旨の警告を表示し、多くのユーザーをそのサイトから遠ざけることになってしまいます
そこでロシア国家は、TLS証明書の独立した発行と更新を行う国内認証局に解決策を想定している。
外国のセキュリティ証明書が取り消されたり、有効期限が切れたりした場合に、その証明書を置き換えるものです。デジタル開発省は、無料で国内のアナログを提供する予定です。サービスは、法人 – サイトの所有者に5営業日以内に要求に応じて提供されます
しかし、新しい認証局(CA)がウェブブラウザから信頼されるためには、まず各社の審査が必要であり、それには長い時間がかかると言われています。
現在、ロシアの新しいCAを信頼できると認識しているウェブブラウザは、ロシアに拠点を置くYandexブラウザとAtom製品だけなので、ロシアのユーザーはChrome、Firefox、Edgeなどではなく、これらを使うように言われているようです。
この国から提供された証明書をすでに受領し、現在使用しているサイトには、Sberbank、VTB、ロシア中央銀行などがあります。
ChromeやFirefoxなどの他のブラウザのユーザーは、新しいロシアのルート証明書を手動で追加することで、国発行の証明書を採用しているロシアのサイトを引き続き利用することができます。
しかし、この場合、ロシアがCAルート証明書を悪用して、HTTPSトラフィックの傍受や中間者攻撃を行う可能性が懸念されます。
Comments