分かりやすい期限切れの証明書を勝手に消してはいけない理由
2020年末に期限切れになるルート証明書。「削除しないで」とMicrosoft - PC Watch
「互換性のために期限の切れた証明書を残す」と言う表現が使われていますが、セキュリティ面で問題があるのではないかと言う意見も散見します。
ただ、これらの証明書は後方互換性のために必要である。なぜならば、その有効期限が切れる前にその証明書を使用して署名されたものはすべて、信頼されたルート証明書を使って検証する必要があるからだ。もしこれらの証明書を削除してしまうと、機能が制限されたり、最悪の場合OSやコンピュータ自身が壊れてしまう。 |
これは、マイクロソフトのエンジニアが書いた分かりにくい説明をそのままニュースにしてしまったサイトが悪いのですが、ちゃんと理由を理解しておく必要があります。
勝手に削除してはいけない理由は主に次の2点です
1. 期限切れの証明書は、その証明書を使って有効期限が切れる前に署名されたものが、信頼されたものであったかを検証するときに必要になります。例えば、古いシステムファイル・ドライバーなどがこれに該当します。もし、期限切れ証明書を削除してしまうと、これらの古いシステムフィルやドライバーが信頼性を確認できないものとされてしまい、ブロックされて使用できなくなったり、削除されてPCが起動しなくなってしまう事もあります。
2. 期限が切れる前に証明書を使って暗号化されたファイルが復号できなくなる。
期限切れの証明書と一緒に秘密鍵も削除してしまうケースもあるようです。
特に、ウイルスバスターなど、未知のファイルに対してマルウェアリスクシステムを採用してるセキュリティソフトは「ファイルに署名があるにもかかわらず、信頼できる証明書のルートが確認できないものは」よりリスクの高いファイルであると判断するケースがあります
期限切れの証明書を消すことによって、複数のファイルがマルウェアと誤検出されるリスクが格段に高くなるのです ・ω・
逆に、古いシステムファイルを完全に排除したシステムでは、削除した方が良いというケースもあるかもしれません。
内閣情報機関に不正侵入 メールデータ漏えい可能性