こんにちは、村木ゆりかです。
マイクロソフトでは、Windows において信頼するルート証明書を管理する仕組みであるルート証明書プログラムを筆頭に、ユーザーのみなさんが、安全に公開鍵基盤 (PKI) 環境を利用できる基盤作りを行っています。
PKI を取り巻く環境は、技術変化や脅威の拡大に伴い、急速に変化しています。数年前までは、「証明機関を信頼する」という作業で安全な PKI 環境の利用ができましたが、最近は、証明機関がサイバー攻撃を受け侵害されるなど脅威が増し、信頼していた証明機関に問題が発生した場合の対応を含めた利用を行う必要があります。
Windows においては、暗号化アルゴリズムの転換などを契機とし、特に Windows Vista 以降においては CAPI2や CNG (Cryptography Next Generation)への対応など大きくデザイン更新をし、その後もさまざまな機能追加を提供しています。
証明書を更新する機能についても、更新の方法や多様なシナリオへの対応を行うべく、仕組みの更新を行っています。OS 毎の、証明書自動更新機能一覧は以下の通りです。
◎ は既定で自動更新を利用可であり特に追加で作業が必要ではないものを示します。(ドメイン環境などで固有の環境に合わせるための設定を除く)
○ は更新プログラムを適用する事で自動更新を利用可であり、証明書を更新するための方法 (補足 2) を示します。
△ は既定の自動更新機能はなく手動更新や定期的な更新の適用が必要であり、証明書を更新するための方法 (補足 2) を示します。
Windows で提供される信頼・非信頼リストの更新機能
Windows XP サポート終了におけるリスク
Windows XP のサポート終了もあとわずかに迫りました。上述の表の通り、Windows XP では、証明書の自動更新機能は限定的な機能です。また、サポート終了に伴い、セキュリティ アドバイザリや、手動で更新するためのパッケージの提供が終了します。
証明書は、インターネットで安全なやりとりを行うためのSSL/TLS で多く利用されており、クラウド サービスを始めとしたオンライン サービスで、安全に利用するためには欠かせません。サポート終了後は、これらのサービスへのセキュリティ影響が発生します。具体的な例は以下の通りです。
・信頼できない証明書が更新できず、悪意のあるサイトと通信を行ってしまう
Windows XP 向けに提供されていた信頼できない証明書を更新するためのパッケージは、サポート終了に伴い提供が終了します。もし、正規に発行された証明書だったが、その後、セキュリティ攻撃などにより信頼が失われたなどの理由から、利用を停止したい証明書や証明機関が発生しても、対応させるための更新パッケージが提供されません。ユーザーは自ら、信頼を失った証明書の情報を把握し、MMC 証明書スナップインなどから追加する必要がありますが、これは容易な作業ではありません。
もし、信頼できない証明書をそのまま利用してしまった場合、悪意のある HTTPS ウェブサイトへ接続してしまったり、悪意のあるものと、SSL/TLS 通信をしてしまったりする可能性があります。
・ドメイン環境等で信頼する証明機関の更新が行えず接続障害が発生する
HTTPS サイトへの接続などの SSL/TLS など証明書を利用する場合は、信頼するルート証明機関の証明書をインストールしておく必要があります。これまでは、ドメイン環境やプロキシでインターネットへの接続を制限しているなどの非インターネット環境 (補足 1) のため自動証明書更新が利用できない環境に対して、手動で更新するためのパッケージを用意して提供していました。サポートが終了すると、このパッケージの提供も終了します。
このため、追加が必要な証明機関を把握し、MMC 証明書スナップインなどから証明書をインストールする、あるいは、新たなグループポリシーを構成して展開するなど、自身で信頼されたルート証明書を管理する必要があります。信頼できるルート証明機関の構成が正しく行われていない場合は、SSL/TLS がエラーになるなど、接続に障害が発生します。
安全な PKI 環境を利用するために
今回ご紹介したルート証明書更新プログラムの他にも、暗号化の仕組みなど、最新の OS では、昨今の脅威に対応した仕組みを既定の機能として提供しています。PKI や暗号化は複雑でわからないものが多いと思っていらっしゃる方もいると思います。Windows では既定の機能としてより安全な環境を提供することで、仕組みが分からなくても自動的に守られることを目指し、最新製品に反映しています。ぜひ、最新の OS や最新の状態で PCを利用することを、検討してみてください。
■ 関連ブログポスト
セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化
失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨
■補足 1:非インターネット環境
証明書の自動更新機能は、windowsupdate.com のサイト上のアドレスへアクセスして最新の信頼リスト・非信頼リストを取得するように設定されています。企業環境などにおいて、windowsupdate.com のサイト上のアドレスへアクセスができない場合などは、証明書の自動更新機能を利用できません。Windows Update 機能とは別に独立して行われます。
■補足 2
Windows における証明書更新機能
手動更新 (IEXPRESS パッケージ):
信頼されるルート証明機関、および信頼できない証明機関のリストは定期的に更新されます。KB931125 (IEXPRESS パッケージ) を Windows Update またはダウンロードセンターから入手し端末にインストールし、最新の状態に更新します。
自動更新:
自動更新メカニズムを使用して信頼するルート証明書をダウンロードまたは更新することができます。参考「マイクロソフトが提供する信頼できる証明書利用基盤」
自動失効ツール:
Windows Vista/7 または、Windows Server 2008/2008 R2 では、KB2677070または KB2813430をインストールすることで、自動更新メカニズムを使用して信頼されていないルート証明書をダウンロードまたは更新することができます。なお、Windows 8 /Windows Server 2012 以降をご利用の場合は、既定でこの機能は利用可能になっています。
参考「マイクロソフトが提供する信頼できる証明書利用基盤」「失効証明書の自動更新処理を有効にする KB2677070 の適用を推奨」
ドメイン環境用自動更新:
KB2813430を適用し構成することで、ドメイン環境などインターネットに接続していないクライアントへの自動更新を行うことができます。参考「セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化」
セキュリティ アドバイザリ
信頼を失った証明書は、セキュリティ アドバイザリにて公開を行い、信頼しないようにするための更新プログラムを提供しています。参考「セキュリティ アドバイザリ 2916652」
■補足 3
Windows では、証明書を信頼するかどうか、という確認を行う仕組みは複数あり、今回のルート証明書更新プログラム (信頼できる証明機関のリスト、および信頼できない証明機関のリストによる検証) の動作は、PKI で一般的に利用される失効リスト (CRL), オンライン レスポンダ (OCSP) による失効確認とは別の動作です。