内部利用を目的としたドメイン名の証明書とは
企業や大学などの組織のネットワークでは、 DNSルートゾーンを基点としたグローバルなDNSで検索できないようなドメイン名が使われることがあります。 これは内部利用を目的としたドメイン名 (Internal Domain Name/Internal Name)と呼ばれ、 「.site」や「.local」「.home」といったものがあります。
ICANNにおける諮問委員会の一つである「セキュリティと安定性諮問委員会(Security and Stability Advisory Committee、SSAC)」が2013年3月にまとめた調査によると、 この内部利用を目的としたドメイン名が入ったSSL/TLSのサーバ証明書は、 157の認証局によって37,000以上発行されていると述べられています。 またこれらのサーバ証明書は、 グローバルなDNSで検索できるドメイン名のサーバ証明書と同様に、 Webブラウザに予めインストールされている認証局証明書を使って確認(証明書検証の処理)ができるようになっています。
SSACによる勧告であるSSAC057*1では、 新gTLDの登録開始に伴って、 新しくgTLDとして登録されたドメイン名と、 gTLD登録以前から企業などの内部で利用されていたローカルなドメイン名がまったく同じになることがあるため、 セキュリティ上の問題が発生する可能性が指摘されています。
例えば、 既に発行されている内部利用を目的としたドメイン名を持つサーバ証明書を使うと、 中間者攻撃 (Man-in-the-Middle attack)が行いやすくなるとされています。 この中間者攻撃が行われると、 ユーザーにはあたかも正しいSSL/TLSの接続が行われているように見えるにも関わらず、 実際には偽のWebサイトにつながっているということが起こり得ます。
この問題に対し、商用認証局の評価基準を策定しているCA/Browser Forum *2では、「Baseline Requirement」と呼ばれる、 サーバ証明書を発行する際の確認要件に関する文書を改定しました。 これによると、 内部利用を目的としたドメイン名の証明書は2015年11月1日までの有効期限のものしか発行されなくなり、 それ以前に発行されていた長い有効期限を持っている証明書も、 2016年10月1日には失効させることになっています*3*4。 つまり2016年10月には内部利用目的としたドメイン名の証明書がなくなることになります。 しかし、 既に新gTLDは2013年からルートゾーンへの追加が始まっており、 2016年10月までは潜在的に中間者攻撃が行われる危険性をはらんでいると言えます。
SSAC057に関する日本語の情報には、 JPNICの"ドメイン名を中心としたポリシーレポート"の第10号があります*5。
*1 SSAC057: SSAC Advisory on Internal Name Certificates
http://www.icann.org/en/groups/ssac/documents/sac-057-en.pdf
*2 CA/Browser Forum
https://www.cabforum.org/
*3 CA/Browser Forum Baseline Requirements for the Issurance and
Management of Publicly-Trusted Certificates, v.1.0
https://www.cabforum.org/wp-content/uploads/Baseline_Requirements_V1.pdf
*4 Guidance on Internal Names | CAB Forum
https://cabforum.org/internal-names/
*5 "ドメイン名を中心としたポリシーレポート"第10号
新gTLDの導入に伴う「内部利用目的での証明書への影響」に関するSSACによる勧告について
https://www.nic.ad.jp/ja/in-policy/policy-report-201307.pdf
