名前衝突問題――その意外な影響と対策:なぜ希望するセカンドレベルドメイン名が取れないか(2/2 ページ)
内部証明書にも注意を
名前衝突というとドメイン名ばかりに目がいくが、佐藤氏は、「証明書問題も忘れてはいけない」という。ここで言う証明書とは、企業などがイントラネットなどで使用している「勝手TLD向けの証明書」のことだが、なぜ、その証明書が問題になるのか。
Webサーバーや他サービスでHTTPS通信や認証を行う場合には、証明書を使用する。勝手TLDであっても、それは変わらない。証明書の発行業務は一般にパブリック認証局が行うが、名前衝突の問題が話題になる前は、勝手TLD向けの証明書を比較的容易にパブリック認証局から入手することができた。
この証明書はイントラネット内で利用することを前提に発行されたものだが、実際にはインターネット上のサーバーに適用しても区別なく設定できるものだ。
重要な点は次の佐藤氏の説明の通りである。
「新gTLDの導入でTLDが増える前であれば、記載されているドメイン名がインターネットに存在しないので、意味はありませんでした。しかし、名前衝突が懸念される状況となると、プライベートTLD(勝手TLD)用の証明書であっても、実際にインターネットで使うことができるものという位置付けになります。パブリック認証局としても、証明書に記載されているドメイン名の登録者などの確認を厳密に行ったものと行っていないものの両方の証明書が存在できることとなります。
この結果、イントラネット用の証明書がインターネットで使われていても、その証明書を見た人はその真偽を調べることはできなくなります。また、新たにドメイン名の登録者となった人にとっては、自分が確認していない証明書が出回っているという事態が起きます。これは証明書としての意義が失われる問題です」(佐藤氏)
では、勝手TLDに対する証明書は、実際にどれくらい発行されているのだろうか。佐藤氏によると、2013年3月に発行された「SAC057 SSAC Advisory on Internal Name Certificates」というドキュメントがこの問題を扱っており、ある調査では約3万7000件もの証明書が確認されているという。最も多いのはGo Daddy Secure Certification社が発行したもので、1万1000件以上あり、他にも大手のパブリック認証局がこのような証明書を発行していたことが確認されたと述べられている。
| 発行元認証局 | 件数 |
|---|---|
| Go Daddy Secure Certification | 11615 |
| Positive SSL CA | 6663 |
| DigiCert Hi Assurance CA-3 | 4807 |
| Starfield Secure Certification Authority | 1967 |
| AAA Certificate Services | 1731 |
| DigiCert Global CA | 1520 |
| USERTrust Legacy Secure Server CA | 1155 |
| GlobalSign Domain Validation CA | 930 |
| Equifax Secure Certificate Authority | 889 |
| Entrust Certification Authority | 799 |
| 表1 勝手TLDに対する証明書の発行件数(出典:SAC057 SSAC Advisory on Internal Name Certificates) | |
【関連リンク】
SSAC Advisory on Internal Name Certificates(5ページ目下部〜)
https://www.icann.org/en/system/files/files/sac-057-en.pdf
インターネットを運営する側は、この件にどのように対処するのだろうか。佐藤氏の説明を要約すると、つまりは「使えなくする」ということのようだ。
「この問題が指摘された後、パブリック認証局の関連団体であるCA/Browser Forumが対策を打ち出しています。勝手TLDを用いたドメイン名に対する証明書の発行は今後行われなくなる予定です。一般的なパブリック認証局は、2015年11月1日以降の有効期限を持つ勝手TLD用の証明書を発行することが禁じられています。すでに発行されている長期の証明書も、2016年10月までに失効される予定です。
また、新gTLDとして使われることが確実となった、つまりICANNとレジストリが契約をしたTLD名については、その契約から120日以内に失効することになっています。よって、インターネット利用者の側からみると、名前衝突を起こしているような勝手TLD向けの証明書がインターネットで使われることについて強く心配する必要はありません」(佐藤氏)
インターネット利用者は一安心というところだが、現在勝手TLDで内部向けの証明書を使っている組織は大変だ。一般的なパブリック認証局からは、2015年11月1日以降の有効期限を持つ勝手TLD向けの証明書は入手できなくなる。従って、それを当てにした運用はできなくなるからだ。
この問題への対策として望ましいのは、イントラネットでの勝手TLDの使用をやめ、名前衝突の可能性がないドメイン名を使うことである。勝手TLDの代わりに、自社で使っているドメイン名のサブドメイン名などをイントラネット内で使うドメイン名と位置付け、内部システムやサービスがその名前を使うように切り替えていく作業が必要になるだろう。自社のインターネットで利用しているドメイン名であれば名前衝突が起こることはなく、パブリック認証局から証明書を発行してもらうことも可能だからである。
佐藤氏は、「勝手TLD向けの証明書の発行ができなくなるのは遠い未来ではありません。システムが使っているホスト名やサービス名を変更する作業は決して簡単なものではないため、早急に対策に動き出していただくことを望みます」とも語っている。
システム管理者、イントラネット運用担当者など、この問題に関係する方々は、できるだけ早い段階で自身のTLDがこの影響を受けるかどうかを確認すべきだ。もし影響がないとしても、今後勝手TLDを使い続けることのリスクを検討していくべきだろう。また、サーチリストを用いる短縮名がきっかけになって発生する名前衝突もあることも忘れてはならない。
システム管理者の方々には、JPRSが提供している以下の資料が参考になると思われる。いずれにしても、早め早めの対策が重要になるはずだ。
【関連リンク】
IT専門家のための名前衝突の確認および抑止方法ガイド(2013年12月5日 バージョン1.0)
http://jprs.jp/tech/material/name-collision-mitigation-05dec13-ja-1.0.pdf
名前衝突問題を超えて
名前衝突は、新gTLDの大幅増加に伴って顕在化した問題である。
しかし、ここで注意しなければいけないのは、「gTLDを増やす」というのはICANNにとって当初からのミッションであったという事実である(米国政府が発行したホワイトペーパーによって具体的に課せられた使命の1つとなっている)。多かれ少なかれ、gTLDを増やしていけばいずれ起こった問題でもある。
新gTLDは、今回ICANNが実施しているプログラムで終わりではなく、いずれ次の募集も開始されると考えるのが自然だろう。どのような形になるかはまだ分からないが、そのときに名前衝突という問題が再燃することは避けるべきである。対処法は明確であり、実現可能なものなのだ。
さて、このような形でさまざまなTLDが出現したことは、インターネットにどのような変化をもたらすだろうか。会社のサイトや新サービスに新gTLDを使おうと考えている人々にとっては大事な話かもしれないが、大多数の利用者は無関係の出来事であるかのように捉えているように感じる。
当初は、それぞれのTLDが競争することで、特に価格面で良い効果が期待できるという考え方もあった。だが時代はすでに、TLDで使う文字列がさほど大きな意味を持つようにはなっていない。ドメイン名の価値はむしろ、そのTLDがどれだけ安定して運用され、安全に使えるかに移ってきているように思えるのだ。
ドメイン名登録者にとって、年間維持料の差はその額が納得できるかどうかであって、それよりも、DNSがどれだけ安定運用されているかとか、ドメイン名にまつわる国際的なトラブルに際して母語や自国の法制度が使えるかといった事柄も大事なはずなのである。そう考えると、今回の新gTLDの問題を冷静かつ客観的に見られるのではないだろうか。
今回の名前衝突は、新しい試みには何かしらの問題が付随するということと、出来事を客観的に見ることの重要性を再認識させられたという点で印象的であった。実際、自分には無関係だと思っていた新gTLDの追加が、思わぬ形で影響してくる可能性があるわけである。読者の皆様にも、この件に関連して、インターネットの安定性について共に考えていただければ幸いである。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。