証明書の透明性(CT)とSCTの解説
Certificate Transparency(証明書の透明性) は、TLS証明書の公開・追記専用のログ基盤です。CAが発行した証明書は独立したCTログに記録され、誰でもそのドメインに対して何が発行されたか(誤発行や侵害されたCAによる発行も含む)を監査できます。
なぜ重要か
CT以前は、自ドメインに対する誤発行証明書に気づけませんでした。現在はブラウザがログ記録の証明を要求するため、CTを監視すれば、ブランドに対する不正な証明書を数時間以内に検知できます。
SCT:ログ記録の証明
SCT(Signed Certificate Timestamp) は、CTログが証明書を記録したという署名付きの約束です。ブラウザ(Chrome・Safari)は、証明書が複数(通常2つ以上)の異なるログのSCTを持つことを要求し、無ければエラーを出します。SCTの提供方法は3通りです:
| 提供方法 | 場所 |
|---|---|
| 埋め込み | 証明書の中(最も一般的) |
| TLS拡張 | ハンドシェイク中 |
| OCSPステープリング | ステープルされたOCSP応答の中 |
自ドメインを監視する
自ドメインに何が発行されたかは crt.sh で検索できます(例: https://crt.sh/?q=example.com)。CT監視/アラートを設定し、見覚えのない証明書が出たら調査につなげましょう。当サイトの SSL/TLSチェッカー はネゴシエートされた証明書を表示します。CT監視と組み合わせれば可視性が高まります。背景: 証明書チェーン。
メモ: 内部ホスト名を公開証明書に入れると、CTにも露見します。公開させたくない内部名にはワイルドカード証明書やプライベートCAを使いましょう。