Google Trust Services : Google Cloud サービスの認証局切り替えを準備中
Google Cloud Japan Team
今年初め、私たちは Google Trust Services を設立したことを発表しました。Google と Alphabet 向けのルート認証局を自ら運営するためです。準備は急ピッチで進んでおり、Google サービス(Compute Engine、Gmail、その他の Google Cloud サービスを含む)をご利用の皆さんは、Google が以前とは異なる認証局(CA)をまもなく使い始めることにお気づきでしょう。認証局が切り替わっても大多数のお客様は影響を受けないと、私たちは考えています。
Google サービスとお客様の通信をセキュアなものにするため、Google は TLS(以前は SSL と呼ばれていたもの)を使用しています。TLS の場合、サーバーは認証局の署名を受けた証明書という形で自らの身元を証明する必要があります。この証明書については、Google は “GeoTrust” という認証局が発行したものを長く使ってきました。
今後数か月のうちに、Google は GlobalSign R2 CA(“GS Root R2”)を使い始める予定です。これは十分に確立され一般に信頼されているルート認証局なので、クライアントの混乱は最小限に抑えられるはずです。ただし、カスタムのルート ストアを使っている TLS クライアントのために、お客様とアプリケーション ベンダーの皆さんには、アプリケーションが少なくとも私たちの最小限のルート セット(PEM ファイル)を信頼することの確認をお勧めします。
Google Trust Services のホーム ページには、お客様やアプリケーション ベンダーが GS Root R2 を含む Google の運営ルートをサポートするかどうかをテストできるリンクが含まれています。しかし、私たちは将来別のルートを使用する可能性があるため、お客様は現在書かれている特定のルートを使ったりせず、前述のルート セットを使うようにしてください。
一般に、TLS クライアントが今後も機能し続けるための必要な条件は、適切なルート セットだけではありません。TLS クライアントは、認証局の切り替えによる混乱を最小限に抑えるため、次の条件を満たす必要があります。
- TLS 1.2 のサポート。
- 接続先のドメインを指定する Server Name Indication(SNI)エクステンションのサポート。
- NIST P-256 曲線(すなわち secp256r1)と、非圧縮ポイントを使用した暗号スイート TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 のサポート。
- 最低でも、https://pki.google.com/roots.pem に掲載されている証明書を信頼すること。
- 証明書チェック コードが DNS SANs(Subject Alternative Names)をサポートすること。SANs には、ドメイン名の最も左のラベルとして、ワイルドカードを 1 つ入れられるものとします。
* この投稿は米国時間 6 月 2 日、Software Engineer である Adam Langley によって投稿されたもの(投稿はこちら)の抄訳です。
- By Adam Langley, Software Engineer