Microsoft Copilotにより生成概要
「2024/11/01以降、Entrust のTLSサーバー証明書はGoogle Chromeで信頼されなくなる」と2024/06/27にGoogle Security Blogよりアナウンスされた。
以下、EntrustルートCAのTLSサーバー証明書に対して、信頼されなくなる。(Chrome127以降)
ただし、2024年10月31日以前に発行されるTLSサーバー証明書は、この変更の影響を受けない。
- CN=Entrust Root Certification Authority – EC1,OU=See www.entrust.net/legal-terms+OU=(c) 2012 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
- CN=Entrust Root Certification Authority – G2,OU=See www.entrust.net/legal-terms+OU=(c) 2009 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
- CN=Entrust.net Certification Authority (2048),OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.)+OU=(c) 1999 Entrust.net Limited,O=Entrust.net
- CN=Entrust Root Certification Authority,OU=www.entrust.net/CPS is incorporated by reference+OU=(c) 2006 Entrust, Inc.,O=Entrust, Inc.,C=US
- CN=Entrust Root Certification Authority – G4,OU=See www.entrust.net/legal-terms+OU=(c) 2015 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
- CN=AffirmTrust Commercial,O=AffirmTrust,C=US
- CN=AffirmTrust Networking,O=AffirmTrust,C=US
- CN=AffirmTrust Premium,O=AffirmTrust,C=US
- CN=AffirmTrust Premium ECC,O=AffirmTrust,C=US
この対応は、既存の利用者に対する影響を最小限に抑えるため、証明書のSCTに基づいてデフォルトの信頼を削除するChromeの新機能を使用している。
信頼されない証明書を使用したサイトにアクセスしようとすると「この接続ではプライバシーが保護されません。【FQDN名】では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。詳細 NET::ERR_CERT_AUTHORITY_INVALID」という警告が表示される。
参照
Sustaining Digital Certificate Security – Entrust Certificate Distrust (June 27, 2024)
影響
EntrustのPrecertificatesでUnexpired(有効期限内の証明書)は「569,877」枚存在している。(2024/06/30)
AppViewXの最近の調査によると、Fortune 1000 企業の90%が3つ以上の認証局(CA)を利用しており、そのうち20%以上がEntrustを利用しているようである。
From recent research, AppViewX discovered a striking statistic: 90% of Fortune 1000 companies utilize more than 3 Certificate Authorities (CAs), with over 20 percent using Entrust.
https://www.appviewx.com/blogs/attention-google-to-distrust-entrust-tls-certificates/
(利用例)
Washington Post
openssl s_client -connect www.washingtonpost.com:443
CONNECTED(000001D8)
depth=1 C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2016 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1J
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = US, ST = District of Columbia, L = Washington, jurisdictionC = US, jurisdictionST = Delaware, O = The Washington Post (WP Company LLC), businessCategory = Private Organization, serialNumber = 415412, CN = www.washingtonpost.com
verify return:1
---
Certificate chain
0 s:C = US, ST = District of Columbia, L = Washington, jurisdictionC = US, jurisdictionST = Delaware, O = The Washington Post (WP Company LLC), businessCategory = Private Organization, serialNumber = 415412, CN = www.washingtonpost.com
i:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2016 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1J
1 s:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2016 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1J
i:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2012 Entrust, Inc. - for authorized use only", CN = Entrust Root Certification Authority - EC1
---Dell
openssl s_client -connect www.dell.com:443
CONNECTED(000001E0)
depth=1 C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2012 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1K
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell, CN = *.dell.com
verify return:1
---
Certificate chain
0 s:C = US, ST = Texas, L = Round Rock, O = Dell, CN = *.dell.com
i:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2012 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1K
1 s:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2012 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1K
i:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2009 Entrust, Inc. - for authorized use only", CN = Entrust Root Certification Authority - G2
---P&G ジャパン
openssl s_client -connect jp.pg.com:443
CONNECTED(000001D8)
depth=2 C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2009 Entrust, Inc. - for authorized use only", CN = Entrust Root Certification Authority - G2
verify error:num=19:self signed certificate in certificate chain
verify return:1
depth=2 C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2009 Entrust, Inc. - for authorized use only", CN = Entrust Root Certification Authority - G2
verify return:1
depth=1 C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2012 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1K
verify return:1
depth=0 C = US, ST = Ohio, L = Cincinnati, O = The Procter and Gamble Co., CN = *.jp.pg.com
verify return:1
---
Certificate chain
0 s:C = US, ST = Ohio, L = Cincinnati, O = The Procter and Gamble Co., CN = *.jp.pg.com
i:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2012 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1K
1 s:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2009 Entrust, Inc. - for authorized use only", CN = Entrust Root Certification Authority - G2
i:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2009 Entrust, Inc. - for authorized use only", CN = Entrust Root Certification Authority - G2
2 s:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2012 Entrust, Inc. - for authorized use only", CN = Entrust Certification Authority - L1K
i:C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2009 Entrust, Inc. - for authorized use only", CN = Entrust Root Certification Authority - G2
---過去のインシデント
過去6年間、公開されたインシデントレポートは、Entrustによる懸念すべき行動のパターンを示しており、これは上記の期待を満たしていないことを示している。これにより、Entrustの能力、信頼性、完全性に対する信頼が低下している。
また、MozillaのWebページにもEntrustの最近(2024年3月1日~5月10日)の違反内容(22件)が掲載されており、問題とされていた。
CA/Entrust Issues
A. Incidents related to Missing CPS URI in EV Certificates(7件)
The incidents listed below in this section A are related to Bug https://bugzilla.mozilla.org/show_bug.cgi?id=1883843 .
- EV TLS Certificate cPSuri missing –
EV TLS証明書にcPSuriがない
https://bugzilla.mozilla.org/show_bug.cgi?id=1883843 - Failed to provide a preliminary incident report according to TLS BR 4.9.5 –
TLS BR 4.9.5に従って予備的なインシデントレポートを提供できなかった(Googleからの連絡)
https://bugzilla.mozilla.org/show_bug.cgi?id=1890123 - CPR was not responded to in 24 hours –
24時間以内にCPRが受けられなかった
https://bugzilla.mozilla.org/show_bug.cgi?id=1885754 - Delayed revocation of EV TLS certificates with missing cPSuri –
EV TLS証明書にcPSuriがない証明書の失効遅延
https://bugzilla.mozilla.org/show_bug.cgi?id=1886532 - EV Certificate missing Issuer’s EV Policy OID –
EV証明書に発行者のEVポリシーOIDがない
https://bugzilla.mozilla.org/show_bug.cgi?id=1888714 - Delay in Updating CPS –
EV証明書に発行者のEVポリシーOIDがない証明書の失効遅延
https://bugzilla.mozilla.org/show_bug.cgi?id=1887753 - Failure to revoke EV TLS certificates issued before CPS update –
CPS更新前に発行されたEV TLS証明書を失効させなかった
https://bugzilla.mozilla.org/show_bug.cgi?id=1890685
B. Certificates without serverAuth EKU and Delayed Revocation(2件)
- clientAuth TLS Certificates without serverAuth EKU –
serverAuth EKUのないclientAuth TLS証明書
https://bugzilla.mozilla.org/show_bug.cgi?id=1886467 - Delayed revocation of clientAuth TLS Certificates without serverAuth EKU –
serverAuth EKUのないclientAuth TLS証明書の失効遅延
https://bugzilla.mozilla.org/show_bug.cgi?id=1887705
C. Policy-Procedure Failure: CPS(4件)
- CPS typographical (text placement) error –
CPS の誤植(テキスト配置)エラー
https://bugzilla.mozilla.org/show_bug.cgi?id=1890896 - Delayed incident report – CPS typographical (text placement) error (Closed) –
遅延インシデントレポート – CPS 誤字(テキスト配置)エラー(クローズ)
https://bugzilla.mozilla.org/show_bug.cgi?id=1890901 - Failure to revoke OV TLS – CPS typographical (text placement) error –
OV TLSの失効の失敗 – CPSの誤字(テキスト配置)エラー
https://bugzilla.mozilla.org/show_bug.cgi?id=1890898 - Not updating Problem Reporting Mechanism fields in CCADB –
CCADBの問題報告メカニズムフィールドが更新されない
https://bugzilla.mozilla.org/show_bug.cgi?id=1894111
D. OCSP and CRL Issues(2件)
- OCSP response signed with SHA-1 –
SHA-1で署名されたOCSPレスポンス
https://bugzilla.mozilla.org/show_bug.cgi?id=1879602 - CRL non-conformance with the TLS BRs (Closed) –
CRL が TLS BR に準拠していない (終了)
https://bugzilla.mozilla.org/show_bug.cgi?id=1889217
E. Issues in Recent History(7件)
- Invalid data in State/Province Field –
州/県フィールドに無効なデータがある
https://bugzilla.mozilla.org/show_bug.cgi?id=1658792 - Late Revocation for Invalid State/Province Issue –
州/県フィールドに無効なデータがある証明書の失効遅延
https://bugzilla.mozilla.org/show_bug.cgi?id=1658794 - EV TLS Certificate incorrect jurisdiction –
EV TLS証明書で管轄地域が間違っている
https://bugzilla.mozilla.org/show_bug.cgi?id=1802916 - Delayed Revocation for EV TLS Certificate incorrect jurisdiction –
EV TLS証明書で管轄地域が間違っている証明書の失効遅延
https://bugzilla.mozilla.org/show_bug.cgi?id=1804753 - Jurisdiction Locality Wrong in EV Certificate –
EV TLS証明書で管轄地域が間違っている(郵便番号の混入)
https://bugzilla.mozilla.org/show_bug.cgi?id=1867130 - SHA-256 hash algorithm used with ECC P-384 key –
ECC P-384キーで使用されるSHA-256ハッシュアルゴリズム(本来はSHA-384が使用されるべき)
https://bugzilla.mozilla.org/show_bug.cgi?id=1648472 - Late Revocation due to SHA-256 hash algorithm –
ECC P-384キーで使用されるSHA-256ハッシュアルゴリズム証明書の失効遅延
https://bugzilla.mozilla.org/show_bug.cgi?id=1651481
Bug List 59件(2024/06/30時点)
