ローリーとラングリーが提案するシステムでは、https://mail.google.com あるいは他のドメインのSSL証明書にアクセスしたWebブラウザは、有効な証明書の、広くアクセス可能なログに暗号で結びつけられた付随的な監査証明書に対して、自動的に証明書を照合する。証明が得られなかった認証情報は、即座に拒絶される。公式ログに未許可の証明書のエントリーが加えられると、影響を受けるドメイン所有者は直ちに通報をうけ、取り消しを行うための対処が行える。
それでもこのシステムは、ログ保有者のいずれかが偽証明書を発行したCAと共謀する場合は、偽造に対して脆弱だ。だがこのような不正は、攻撃者側に余分な仕事が必要となり、他の保有者の暗号監査ログを使用して容易に検出できるはずだ。
2人のGoogle研究者たちは、彼らのシステムをサポートしないブラウザと互換性を持つよう設計したと語っている。さらに彼らは…
※本記事は有料版に全文を掲載します
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター
