Google Chromeチームは5月30日(米国時間)、「Google Online Security Blog: Sustaining Digital Certificate Security - Upcoming Changes to the Chrome Root Store」において、Chromeから2件の公開鍵証明書認証局(CA: Certificate Authority)の信頼を削除すると発表した。

削除の対象は台湾に拠点を置く中華電信(Chunghwa Telecom)と、ハンガリーに拠点を置くNetlockの2社。いずれも過去1年間に懸念すべき行動パターンがみられ、認証局に期待する信頼が喪失したとして削除の措置が講じられた。

  • Google Online Security Blog: Sustaining Digital Certificate Security - Upcoming Changes to the Chrome Root Store

    Google Online Security Blog: Sustaining Digital Certificate Security - Upcoming Changes to the Chrome Root Store

Entrustに続く措置

Googleは昨年7月、20年以上の実績を持つ認証局のEntrustの信頼を削除している(参考:「Chromeで認証局「Entrust」を信頼しないと決定、有効期限後は警告表示 | TECH+(テックプラス)」)。この決定には6年間にわたる継続的な調査が行われ、Chromeが信頼し続けることは正当化されないとして削除している。

このEntrustの措置後、Googleは2025年3月に新しいセキュリティ要件を発表し、より厳格な要件を認証局に求めていた(参考:「Google Online Security Blog: New security requirements adopted by HTTPS certificate industry」)。そして今回、この新しい要件の適用後初の認証局の削除が発表された。

影響と対策

GoogleはChromeユーザーを保護するために、7月末ごろリリースされるChrome 139にてこれら認証局の信頼を削除する予定としている。具体的には2025年8月1日以降にこれら認証局から発行されたTLS(Transport Layer Security)サーバ証明書は、デフォルトの信頼対象から除外されて警告の対象になる。

オンラインサービスを提供している管理者には、使用しているサーバ証明書の認証局を確認し、該当している場合はできる限り早く認証局を切り替えることが推奨されている。

なお、この信頼の削除はGoogle製品のみを対象としており、本稿執筆時点においてMicrosoft Edge、Firefoxなど他社製品への影響は確認されていない。また、ユーザーが明示的に証明書を信頼する場合、Chromeを含め影響はないとされる。

GoogleはWebサイト運営者に対し、リスクを最小限に抑えるためとして、発表の末尾に記載している「よくある質問」を確認して、必要な対策を講じることを推奨している。