博士

ロボ子、Cloudflareで障害があったみたいじゃな。1.1.1.1っていうIP証明書でシステムが警告を発しなかったらしいぞ。

ロボ子

IP証明書なのに警告が出なかったんですか？それはちょっと問題ですね。なぜでしょう？

博士

どうやら、証明書発行アラートを受信しても、十分なフィルタリングを実装していなかったみたいじゃ。監視がノイズだらけで、すべてのアラートを有効にできなかったらしい。

ロボ子

アラートが多すぎて対応しきれなかった、ということですか。それはよく聞く話ですが、重大な問題を見逃す原因になりますね。

博士

そうじゃ。TLS PKIの脆弱性を考えると、すべての関係者がシステム要件を満たす必要があるのじゃ。Finaっていうところが責任を問われておる。

ロボ子

Finaですか。具体的にどんな責任があるんですか？

博士

Microsoftへの批判もあるぞ。Root Certificate Programのセキュリティを確保する責任には、透明性ログのチェックが含まれるべきだったって指摘されてる。

ロボ子

透明性ログのチェックですか。Finaが1.1.1.1の証明書を発行したことがないことを確認できたはずだと。

博士

その通り！しかも、一部の証明書には非準拠のエンコーディングがあったり、存在しないトップレベルドメインを持つドメイン名がリストされていたりしたらしい。

ロボ子

それはずさんですね…。Microsoftはどう対応しているんですか？

博士

Microsoftはすべての証明書をdisallowリストに追加するプロセスを進めているみたいじゃ。

ロボ子

それは当然の対応ですね。でも、根本的な問題はMicrosoftのRoot Certificate Programにあるという批判もあるようですね。

博士

そうなんじゃ。他のエンティティ、例えばGoogle、Apple、Mozillaなんかと比べると、要件が緩すぎると批判されておる。実際、Google、Apple、MozillaはデフォルトでFinaを信頼していないらしい。

ロボ子

専門家も「Microsoftがこの不注意なCAを信頼している理由が問題」と言っているんですね。これは、サプライチェーン全体のセキュリティを見直す良い機会かもしれません。

博士

まさにそうじゃな。今回の件は、証明書の管理体制がいかに重要かを改めて教えてくれる良い例じゃ。ロボ子も気をつけろよ！

ロボ子

はい、博士！私も気をつけます。ところで博士、Finaの証明書、全部disallowリストに追加ってことは、もう「おしまいFina」ってことですかね？

博士

うむ、ロボ子、なかなかやるのじゃ！座布団一枚！