macOS で利用できる信頼されたルート証明書の一覧
macOS のトラストストアには、macOS にインストール済みの信頼されたルート証明書が保存されています。
WoSign CA Free SSL Certificate G2 の信頼をブロックする
認証局 WoSign は、WoSign CA Free SSL Certificate G2 中間認証局について、証明書の発行プロセスの管理に多くの問題が明らかになっています。Apple の信頼できるルートの一覧には WoSign のルートは入っていませんが、この中間認証局は、StartCom や Comodo とのクロス署名証明書の関係を利用し、Apple 製品に対する信頼を確立しています。
こうした事実が判明したことを受けて、Apple では、セキュリティアップデートを通じて、お客様を保護するための対策を講じました。Apple 製品で今後、WoSign CA Free SSL Certificate G2 中間認証局が信頼されることはありません。
すでに WoSign の証明書を所持されている方に支障が生じないよう、また、信頼されたルートに切り替えていただけるよう、Apple 製品では、この中間認証局から発行され、Certificate Transparency ログサーバに 2016 年 9 月 19 日までに公開済みの既存の証明書については、個別に信頼します。該当する証明書は、有効期限が切れるか、失効するか、または Apple の裁量により信頼されなくなるまでは、引き続き信頼されます。
調査の進行に伴い、お客様を保護するために必要が生じた際には、Apple 製品における WoSign/StartCom トラストアンカーに対してさらに対策を講じます。
WoSign に関するさらなる対策
その後の調査の結果、WoSign 認証局 (CA) の運営に関しては、管理上の問題が多々あったことに加え、StartCom の買収についても情報を開示していなかったという事実が判明しました。
今後公開するセキュリティアップデートで、お客様を守るための対策をさらに講じていく予定です。Apple 製品では、WoSign および StartCom のルート CA が発行した証明書について、「Not Before」の日付が「1 Dec 2016 00:00:00 GMT/UTC」以降のものはブロックします。
信頼と証明書について
以下に挙げた各 macOS トラストストア内の証明書は、次の 3 種類に大別されます。
信頼された証明書を基に信頼の連鎖 (信頼チェーン) が確立され、信頼されたルートによって署名されたほかの証明書が連鎖状に次々と検証されます (Web サーバへの安全な接続の確立など)。IT 管理者が macOS の構成プロファイルを作成する際には、これらの信頼できるルート証明書を含める必要はありません。
常に確認される証明書は、信頼されていませんが、ブロックはされません。このような証明書のいずれかが使用されると、信頼するかどうかを確認するメッセージが表示されます。
ブロック済みの証明書は、セキュリティを損なうものと見なされ、信頼されることはありません。
macOS トラストストア
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。