CNNICのルート証明書とEV CAを無効化する方法

China Internet Network Information Center(CNNIC)のルート証明書とEV CAを無効化する方法のご紹介です。

MCS Holdingsが発行した不正なデジタル証明書

2015年4月1日、GoogleとMozillaは中国の認証局「CNNIC」が新たに発行するデジタル証明書を信頼できない証明書として扱うと発表しました。

CNNICは、暗号通信で利用されるデジタル証明書を不正発行していたMCS Holdings」を信頼できる機関として保障していた認証局です。

また、MicrosoftはMCS Holdingsのデジタル証明書を失効したと発表しています。


China Internet Network Information Centerとは?

China Internet Network Information Center(通称:CNNIC)は、中国国内のIPアドレスの割り当てや証明書の発行を行っている団体です。

アジア太平洋地域全体のIPアドレスを管理する「APNIC」の管理下にある団体で、日本国内のIPアドレスを管理している「JPNIC」と同じ、国別インターネットレジストリ管理団体となっています。

今回はこのCNNICのルート証明書をWindowsとFirefoxでも失効される方法のご紹介です。

なお、WindowsはCNNICのルート証明書がインストールされていない場合があるようです。(初期状態ではインストールされていない?)

  1. Windowsの場合
  2. Mozilla Firefoxの場合

Windowsの場合

  1. スタートボタンをクリックし、「Certmgr.msc」を検索する

  2. Certmgr.msc」が表示されるのでそれをクリック
  3. 証明書マネージャーツールが起動するので、左側にある「信頼されたルート証明機関」 → 「証明書」を選択します。
  4. CNNIC ROOTをクリック
  5. 詳細タブをクリック
  6. プロパティの編集(E)…をクリック
  7. この証明書の目的をすべて無効にする(I)をクリック
  8. 右下の適用(A)をクリック
  9. 以下のよう目的が〈なし〉になっていれば完了です。

Mozilla Firefoxの場合

  1. オプション画面の詳細タブをクリック
  2. 証明書タブをクリック
  3. 証明書を表示(C)…をクリック
  4. 認証局証明書タブをクリック
  5. 「China Internet Network Information Center」を選択(クリック)して、右下の削除または信頼しない(D)…をクリック
  6. OKをクリック
  7. 同様に「CNNIC ROOT」をクリック(選択)して、右下の削除または信頼しない(D)…をクリック
  8. OKをクリック