Google Chrome、信頼するルート証明書から中華電信とNetLockを除外

セキュリティニュース

投稿日時: 更新日時:

Google Chrome、、信頼するルート証明書から中華電信とNetLockを除外

Googleは2025年5月30日、同社Chrome Root Store(ルート証明書ストア)からChunghwa Telecom(中華電信)およびNetlockのルート証明書に対するデフォルト信頼を段階的に削除する方針を発表しました。これはTLS(Transport Layer Security)証明書の検証に関わる重大な仕様変更であり、多くの企業やウェブサイト管理者にとって対応が求められる内容です。

信頼性失墜による措置

Googleは、証明機関(CA:Certificate Authority)に対して「ユーザーにとっての価値が、リスクを上回ること」をChrome Root Programポリシーにて明記しています。

しかし、Chunghwa TelecomおよびNetlockによる一連の不適切な対応や継続的な改善の欠如により、その信頼性は著しく低下したとGoogleは判断しました。

これまでに観察された行動パターンには、公開されたインシデントへの不十分な対応透明性の欠如、および業界標準との乖離が含まれており、CA/BフォーラムのTLSベースライン要件に反する事例が多数報告されてきました。

変更の適用タイミングと影響範囲

  • 適用開始日:2025年8月1日以降

  • 対象証明書2025年7月31日 23:59:59(UTC)以降に署名されたSCT(Signed Certificate Timestamp)を持つTLS証明書

  • 影響するルートCA

    • Chunghwa Telecom(ePKI Root CA、HiPKI Root CA – G1)

    • Netlock(Arany/Goldクラス)

  • 影響対象ブラウザ:Chrome バージョン139以降(Windows, macOS, Linux, ChromeOS, Android)
    ※iOS版Chromeは対象外(Appleの制限によりChrome独自の証明書検証機構が使われていないため)

これにより、該当CAが発行した証明書を使用するウェブサイトは、ユーザーがChromeでアクセスした際に「接続が安全でない」という警告ページ(インタースティシャル)」が表示されるようになります。

企業やサイト管理者が取るべき対応

証明書にChunghwa TelecomまたはNetlockが含まれているかどうかは、Chromeの証明書ビューアで簡単に確認できます。

確認手順:

  1. 対象のウェブサイトにアクセス

  2. 鍵アイコンをクリック

  3. 「接続は保護されています」→「証明書は有効です」→「発行者」項目を確認

    • 「O(組織名)」に Chunghwa Telecom、Netlock、行政院 などが含まれている場合は要対応

対策:

  • 信頼されている他のCAによる証明書に早期切替

    • 既存証明書の有効期限が2025年7月31日以降にまたがる場合は更新前に切替を完了する必要があります。

  • 内部ネットワークで使用している証明書の検証

    • Chrome 127以降では、企業がCAをローカル信頼として明示的に登録することで、Chrome Root Storeの制限を上書き可能

    • GPO(グループポリシー)や証明書ストア設定により対応

テスト方法

Chrome 128以降では、SCTベースの信頼無効化設定を模擬するためのコマンドラインフラグが導入されています。

--test-crs-constraints=<SHA256ハッシュ>:sctnotafter=<エポックタイムスタンプ>

これにより、IT管理者や検証担当者は実際にブロックが起こるシナリオを事前に確認することが可能です。

ユーザーへの影響と注意点

  • ブロック対象となる証明書を使用しているウェブサイトにアクセスした場合、証明書警告ページが全画面で表示される

  • エンドユーザーにとってもセキュリティリスクとみなされるため、Web運営側の迅速な対応が求められる

なお、Chrome以外のブラウザ(Firefox、Safari、Edge等)での扱いは各ブラウザベンダーの判断に委ねられており、影響範囲は異なる可能性があるため、併用している環境では注意が必要です。

まとめ

今回のGoogleの対応は、インターネット全体のTLS信頼モデルに対する厳格な監視体制の一環であり、証明機関のガバナンスが問われる重要な事例です。企業の情報システム部門やセキュリティ担当者は、早急に自社で利用している証明書の発行元を確認し、必要に応じて切替対応を進めることが推奨されます。

Chromeの動向はインターネット通信のスタンダードに大きな影響を与えるため、引き続きルートストアの変更情報には注意を払う必要があります。信頼できるCAとの連携と、定期的な証明書管理体制の見直しが、Webサービスの安定運用とユーザー信頼確保につながります。