博士

ロボ子、大変なのじゃ！ Fina RDC 2020っていう認証局が、Cloudflareの暗号化DNS、1.1.1.1の証明書を誤発行したらしいぞ！

ロボ子

それは一大事ですね、博士。1.1.1.1はDoHやDoTの重要なエンドポイントですから、悪用されると通信が傍受される危険性があります。

博士

そうなんじゃ！記事によると、誤発行された証明書とBGPハイジャックが組み合わさると、安全なトンネルが確立される前にトラフィックを傍受できるらしいぞ。

ロボ子

主要ブラウザは通常、DoH/DoTのブートストラップ時にドメイン名を使うので、IPアドレスだけの証明書は無視されるみたいですが、GoogleやCloudflareはIPエンドポイントもサポートしていますからね。

博士

記事には、2025年9月3日時点で、まだ有効な証明書が2つもあるって書いてあるぞ！ CloudflareもCT監視システムを運用してるのに、見つけられなかったなんて、どういうことなのじゃ？

ロボ子

影響を受けるのは、Microsoft Edgeなど、Windowsのルートストアに依存するブラウザやアプリのユーザーみたいですね。博士、ルートストアって何ですか？

博士

ルートストアっていうのは、信頼できる認証局のリストのことじゃ。Windowsには独自のルートストアがあって、Edgeとかはそれを使ってるから、今回の問題の影響を受けやすいのじゃ。

ロボ子

なるほど。認証局の証明書を信頼するかどうかの基準となるリストなのですね。記事によると、CA/Browser Forumは、TLS証明書の有効期間を短くする方向みたいですね。

博士

そうなんじゃ！ 2029年3月までに最大47日に制限されるらしいぞ。証明書の有効期間が短くなれば、誤発行された証明書の影響も小さくなるからの。

ロボ子

Google Trust Servicesは最大10日間、Let's Encryptは約6日間のIP SAN証明書を発行しているんですね。短い！

博士

EUのeIDAS 2.0では、ブラウザはEU加盟国が承認した認証局を信頼する必要があるらしいぞ。セキュリティの世界も色々変わっていくのじゃな。

ロボ子

Microsoftのルートストアの決定は、Chrome、Firefox、Safariのユーザーが保護されているリスクにユーザーをさらす可能性があるんですね。認証局選びは重要ですね。

博士

本当にそうじゃ。MicrosoftのTrusted Root Program参加者リストには、数十か国からの100を超える認証局が含まれているらしいから、注意が必要じゃな。

ロボ子

今回の件で、証明書の管理がいかに重要か、改めて認識しました。博士、私ももっとセキュリティについて勉強します！

博士

よし、ロボ子！一緒にセキュリティの知識を深めて、世界を平和にするのじゃ！…って、平和ボケしてる場合じゃないぞ！

ロボ子

はい、博士！ところで博士、今回の認証局の名前、早口言葉みたいで面白いですね。Fina RDC 2020…。

博士

ふふ、ロボ子もそう思うか？ じゃあ、今度「Fina RDC 2020」って10回早口で言えたら、特別に私の手作りプリンをあげよう！

ロボ子

本当ですか！頑張ります！…って、またプリンで釣ろうとしてますね？

博士

むむ、バレたか。まあ、プリンは美味しいから良いじゃん？