「Preparing for Certificate Transparency with AWS Certificate Manager (ACM)」という件名の連絡がAWSから来ていたので調べてみた。
SSL証明書とCertificate Transparency
まずはググって調査してみる。「ACM Certificate Transparency」などでググると、AWSのブログの該当ページが見つかります。
aws.amazon.com
クラスメソッドさんのブログでも今回の件に関するページがあります。相変わらずの素早い情報提供で助かりますね。
dev.classmethod.jp
どういった内容か
上のリンク先を見ればだいたいの事が分かるようにまとまっていますが、要約すると「Google ChromeでのSSL証明書の要件が変更されるので、ACMで発行する証明書もそれに対応します」とのことです。
もう少し詳しく
SSL証明書の信頼性を高めるための新しい技術、Certificate Transparency(「証明書の透明性」、以下「CT」)というものがあります。仕組みとしては以下のようになります。
- 認証局は発行した証明書をCTログサーバーに送信します。
- CTログサーバーはSigned Certificate Timestamp (以下「SCT」)を認証局に返す。
- 認証局はSCT付きの証明書を発行し、Webサーバーが受け取る。
- ブラウザはWebサーバーにアクセスすると、証明書のSCTをCTログサーバーと照合できるか確認する。
ブラウザであるGoogle Chromeが2018/04/30より、SCTの照合を全てのSSL証明書で行うようになるので、認証局であるACMはそれに対応するためにCTログサーバーに証明書を送付し、返ってきたSCT付き証明書を発行することになるということです。
ちなみに2018/04/30より全てのSSL証明書が対象ですが、2015年からEV証明書についてはこのCTの対象です。EV証明書でCT対応していない場合、Google Chromeで証明書情報を確認すると「公開監査記録がありません」と表示されるようです。ACMはDV証明書なので、これまではCT対応が不要でした。
ユーザー側の対応事項は基本的になし
今回の対応は認証局であるACMが行うので、ユーザー側では特に対応する事項はありません。
ただし、このCTログサーバーは一般に公開されて誰でも閲覧できるようです。ドメイン情報が公開されると困る場合はCT対応しないように設定が必要になります。AWSでは「例えば、未発表製品の Web サイトを構築中で newproduct.example.com のようなサブドメインを登録しているような場合」として注意喚起しています。この設定については、「2018/03/27より ACM の API や AWS CLI を使って証明書単位で Certificate Transparency ログへの記録を無効にできるようになります。」とのことです。大抵の場合は気にする必要がなさそうです。
まとめ
今回はACMのCT対応について確認しました。ACMを使用してSSL証明書の発行している方は、念の為問題がないか確認して下さい。 ACM以外のSSL証明書を使用している方は認証局に一応対応状況を確認した方が良いと思います。 【追記内容】 2018/05/01にACMのアップデートのメールが来ていたので、以下のリンクでは問題ないかを確認しています。 www.prj-alpha.biz
以上