CT(Certificate Transparency) SCT証明書

SSL証明書 クイックSSLプレミアム SSL証明書 後払い

CT(Certificate Transparency)の最新状況

Googleは2018年4月30日以降に発行される証明書についての、CT(Certificate Transparency)への対応要件を発表しました。

詳細は下記のページ(英文)をご参照下さい。
Certificate Transparency in Chrome
Chromium Certificate Transparency Policy
Certificate Transparency Log Policy
2018年4月30日以降に発行されるデジサート(シマンテック)、ジオトラスト、RapidSSL、Thawte、COMODOのSSLサーバ証明書は 上記の要件を備えていますのでご安心下さい。

CT(Certificate Transparency)対応要件

Google Chromeにおいて2018年4月30日以降に発行されたSSL証明書は要約しますと以下の3つの条件が必須となります。
  • Googleの基準を満たす適格なCTログが記録されること
  • 少なくとも2つ以上の適格なCTログがあること(そのうちひとつはGoogleのCTログであること)
  • 証明書に埋め込みSCT(組み込みSCT)があること

2018年4月30日以降に新たに発行される証明書は、上記の要件を満たしていなければGoogle Chromeの警告対象となります。
Appleにおきましても今後Googleに追随した要件が適用される予定です。
詳細はApple Certificate Transparency policyをご参照下さい。

SCTとは

SCTとはSigned Certificate Timestamp(署名付き証明書のタイムスタンプ)の略語です。
CT(Certificate Transparency)では認証局が証明書を発行する際に、第三者が運用するCTログサーバーに証明書を登録します。 この時、CTログサーバーから証明書に対してSigned Certificate Timestamp (SCT)と呼ばれるタイムスタンプが付与されます。

CTを用いてサーバ証明書を検証する際には、まず証明書にSCTが含まれるかどうかを確認します。 もしSCTが無い場合は、CTでは真偽の判断を付けることができません。 SCTがあれば、それを元にCTログサーバに問い合わせを行います。
ここで検証に失敗した場合は、同一のホスト名を持つ偽の証明書である可能性があると判断できます。
ユーザーに接続しないように注意を促すことができると共に、 一般公開されているCTログサーバを監視することで、 偽の証明書に関する問題を発見できるとされています。

発行済SSL証明書のSCTにつきましての確認はSSL証明書のSCT確認方法をご参照下さい。

証明書の有効期間によるSCTの数

GoogleはCertificate Transparency in Chromeにおいて 以下のように有効期間によるSCTの数を定めています。
Lifetime of Certificate Number of SCTs from distinct logs
< 15 months 2
>= 15, <= 27 months 3
> 27, <= 39 months 4
> 39 months 5

Qualified CT Logs(認可されたCTログ)

GoogleはGoogle Chromeの基準を満たす適格なCTログについて Chromium Certificate Transparency PolicyCertificate Transparency Log Policyにおいて定めています。
■Qualified Logs(認可されたログ)
Log Operator Name Log URL Maximum Merge Delay Included Since
Google Google 'Pilot' Log https://ct.googleapis.com/pilot 24 hours Revision: https://crrev.com/237785
Chrome: 35
Google Google 'Aviator' Log https://ct.googleapis.com/aviator 24 hours Revision: https://crrev.com/237785
Chrome: 35
Note: Frozen (not accepting new certificates)
DigiCert DigiCert's Certificate Transparency log https://ct1.digicert-ct.com/log/ 24 hours Revision: https://crrev.com/309831
Chrome: 41
Google Google 'Rocketeer' Log https://ct.googleapis.com/rocketeer 24 hours Revision: https://crrev.com/325382
Chrome: 43
DigiCert Symantec Log https://ct.ws.symantec.com 24 hours Revision: https://crrev.com/483625
Chrome: 45
DigiCert Symantec 'Vega' Log https://vega.ws.symantec.com/ 24 hours Revision: https://crrev.com/376143
Chrome: 50
Google Google 'Skydiver' Log https://ct.googleapis.com/skydiver/ 24 hours Revision: https://crrev.com/429670
Chrome: 55
Google Google 'Icarus' Log https://ct.googleapis.com/icarus/ 24 hours Revision: https://crrev.com/429670
Chrome: 55
Venafi Venafi Gen2 CT log https://ctlog-gen2.api.venafi.com/ 24 hours Revision: https://crrev.com/471318
Chrome: 59
Comodo Comodo 'Sabre' Log https://sabre.ct.comodo.com/ 24 hours Revision: https://crrev.com/482145
Chrome: 60
Comodo Comodo 'Mammoth' Log https://mammoth.ct.comodo.com/ 24 hours Revision: https://crrev.com/482145
Chrome: 60
DigiCert DigiCert Log Server 2 https://ct2.digicert-ct.com/log/ 24 hours Revision: https://crrev.com/481160
Chrome: 60
DigiCert Symantec 'Sirius' Log https://sirius.ws.symantec.com/ 24 hours Revision: https://crrev.com/481160
Chrome: 60
Google Google 'Argon2018' Log https://ct.googleapis.com/logs/argon2018/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
Google Google 'Argon2019' Log https://ct.googleapis.com/logs/argon2019/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
Google Google 'Argon2020' Log https://ct.googleapis.com/logs/argon2020/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
Google Google 'Argon2021' Log https://ct.googleapis.com/logs/argon2021/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
Cloudflare Cloudflare 'Nimbus2018' Log https://ct.cloudflare.com/logs/nimbus2018/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
Cloudflare Cloudflare 'Nimbus2019' Log https://ct.cloudflare.com/logs/nimbus2019/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
Cloudflare Cloudflare 'Nimbus2020' Log https://ct.cloudflare.com/logs/nimbus2020/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
Cloudflare Cloudflare 'Nimbus2021' Log https://ct.cloudflare.com/logs/nimbus2021/ 24 hours Revision: https://crrev.com/540254
Chrome: 65
DigiCert DigiCert 'Yeti2018' Log https://yeti2018.ct.digicert.com/log/ 24 hours Revision: https://crrev.com/559734
Chrome: 67
DigiCert DigiCert 'Yeti2019' Log https://yeti2019.ct.digicert.com/log/ 24 hours Revision: https://crrev.com/559734
Chrome: 67
DigiCert DigiCert 'Yeti2020' Log https://yeti2020.ct.digicert.com/log/ 24 hours Revision: https://crrev.com/559734
Chrome: 67
DigiCert DigiCert 'Yeti2021' Log https://yeti2021.ct.digicert.com/log/ 24 hours Revision: https://crrev.com/559734
Chrome: 67
DigiCert DigiCert 'Yeti2022' Log https://yeti2022.ct.digicert.com/log/ 24 hours Revision: https://crrev.com/559734
Chrome: 67

CT(Certificate Transparency)とは

CT(Certificate Transparency)(サティフィケイト トランスペアレンシー)とは、日本語で「証明書の透明性」「透かし入り証明書」などと呼ばれています。

CT(Certificate Transparency)は、不正な証明書を早期に発見・検知するための仕組みとして Google 社により考案され、2013 年に「RFC 6962」として規格化されました。 CT(Certificate Transparency)は認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。 それにより利用者が不正に発行された証明書を信頼することを防止します。 CT(Certificate Transparency)はあくまで証明書の信頼性を高めるための追加の仕組みであり、これまでの証明書の検証の仕組みが無くなるわけではありません。
以下のデジサート(シマンテック)のページもご参照下さい。
Digicert(デジサート)CT(Certificate Transparency)


Google ChromeでのCT対応時と非対応時の表示例

下記はChromeの古いバージョンの警告例です。
下記の警告例はすでに変更となっています。
■CT対応時
サーバ証明書がCTに対応している場合のブラウザの表示は以下のとおりです。

※上記の画像の緑色の下線は違いが分かりやすいように編集してあります。実際のChromeの表示には緑色の下線はありません。


■CT非対応時
サーバ証明書がCTに対応していない場合のブラウザの表示は以下のとおりです。

※上記の画像の赤色の下線は違いが分かりやすいように編集してあります。実際のChromeの表示には赤色の下線はありません。

Copyright© 2014 ZERONET,Inc All Rights Reserved.