証明書の透明性を監視することで、どのようにドメインに利用されるSSL証明書に対する可視性を提供するかについて説明します。
概要
主要なブラウザは、SSL証明書を介してWebサイトを信頼します。SSL証明書はサイトの識別情報を証明したり、クライアントまたはブラウザがコンテンツを送信する前に、安全な接続を保証したりするのに役立ちます。
認証局は、証明書発行する際にCertificate Transparency(証明書の透明性,CT)公開ログで、発行を記録します。CTログは、Cloudflare、Googleその他が管理する大規模データベースで、全て有効な証明書をまとめて記録します。CloudflareのCertificate Transparency 監視では、ドメインがCTログで認識されるたびに、アラートをメールで送信します。このように、CT 監視はSSL証明書がドメインに作成されるたびに通知し、新規SSL証明書の正当性を確認できるようにします。
Certificate Transparency アラートを有効にする
アラートはデフォルトで、「Off」になっていますが、Cloudflare SSL/TLSアプリの Edge証明書タブ内でCertificate Transparency Monitoring を介して有効化されます。FreeプランとProプランのドメインのアラートは、週10回 までと限られますが、「共有アカウントのアクセス」内で定義されているCloudflareアカウントメンバー全員にアラートが送信されます。BusinessプランとEnterpriseプランのドメインはCTアラートを受信するために、10個までメールアドレスを設定することができます。メールアドレスは、Cloudflareアカウントとの関連付けを必要とせず、アラートは週に200までとなっています。
FreeプランとProプランのドメインのCTアラートを無効にするには、Cloudflare SSL/TLS アプリの「Edge証明書」タブで、Certificate Transparency 監視 をOffに設定します。BusinessプランとEnterpriseプランのドメインについては、Certificate Transparency 監視機能から設定されているメールアドレス全てを削除します。
悪意のあるSSL証明書への対処方法
証明書アラートの多くは、ルーチンです。例えば、証明書には有効期限があり、再発行する必要があります。ドメインが認識可能な所有権と証明書情報とともにメールで一覧されている場合、何もする必要がありません。
しかし、次の場合は対処が必要となります。
- 証明書の発行者が認められない場合。
- CTアラートを受信した頃に、Webサイトに問題が発生していることに気づいた場合。
悪意のあるアクティビティが認識しにくいものです、注意を怠らないでください。問題を特定する場合、以下の推奨事項に従ってください。
認証局だけが、悪意のある証明書を執行させる権限を持っています。自分のドメインに発行された証明書が正しくないと思われる場合、アラートメールに発行者としてリストに記載あれている認証局に連絡をしてください。主要な認証局の連絡先リンクはこちらです:
- DigiCert: https://www.digicert.com/support/#Contact
- GlobalSign: https://www.globalsign.com/en/company/contact/support/
- GoDaddy: https://www.godaddy.com/contact-us?sp_hp=B
- IdenTrust: https://www.identrust.com/support/support-team
- Let’s Encrypt: https://letsencrypt.org/contact/
- Sectigo: https://sectigo.com/support
ドメインレジストラーは、悪意がある可能性を持つドメインを一時停止することがあります。例えば、GoDaddyを通して、悪意のある登録済みドメインに気がついたとします。GoDaddyのサポートチームに連絡を入れ、サポートを受けてください。
悪意のある証明書を軽減する方法が他にもあります。オンサイト通知で、訪問者に警告を表示したり、ブラウザメーカー(Google のChrome、AppleのSafari、など)に連絡を取り、ドメインをブラックリストしたり、Cloudflareサポートに連絡することができます。