AWS Certificate Manager (ACM)のCertificate Transparency (CT)サポートが始まります

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

2018/03/01更新 2018年4月30日以前に発行された証明書は対象外であることを追記しました

ども、大瀧です。
昨日、AWS Security BlogでACMのCertificate Transparency(CT)サポートについての記事が公開されました。

CT自体の是非については、本記事では触れません。何が起きるのか、どう対処するのかをまとめてみます。

Certificate Transparency(CT)とは

Certificate TransparencyはGoogleが提唱する、TLS証明書発行の証跡を残す仕組みです。CyberTrust社の以下のページが詳しいです。

CT自体は2015年にEV証明書で義務付けられていたわけですが、2018年4月末よりChromeおよびChromiumでCCADBに登録する全てのCAの全て(DV,CV,EV)のTLS証明書でCTを求めるようになります。2018年4月末以降に発行された証明書が対象なので、既存の証明書は影響ありません。

従って、5月以降はCT非対応のTLS証明書を利用するWebサイトでは何らかの警告が表示されるようになります(どんな警告になるかは現時点で不明です)。CT対応自体は、過去に特定のCAやEV証明書対応でWeb上に情報がいくつかあるので、それらが参考になるでしょう。

ACMのCT対応

AWSが提供するTLS証明書発行サービスであるAWS Certificate Manager(ACM)のCAはAmazonでありCCADBにもきっちり載っているので、今回のCT対応が求められるようになります。上記ブログによると下記スケジュールで対応が進むとあります。

  • 2018/03/27 : ACMのAPIないしAWS CLIによるCTログ無効化手順についてAWSからアナウンス & 無効化が可能になる
  • 2018/04/24 : ACMでSCT付き証明書の発行が始まる
  • 2018/04/30 : Chrome/ChromiumでのCT義務化スタート

SCTの付与自体はCA側の対応なので、ユーザーとして行うべき手続きは特にありません。

考察とまとめ

ポイントになるのは、CTログ無効化の手順ですね。CTによって証明書発行のログを任意のユーザーが引けるようになるため、なんらかの理由から非公開にしたいドメインの証明書ではそのログを無効化する手順が用意されます(現時点では、その手順は不明です)。現在そのようなドメインでACMを利用している場合は4/24までに無効化の手続きを踏む必要があることに注意しましょう。