GoogleはSymantec証明書に対する信頼を段階的に削減します

すこし気になるニュースを読みました。こんばんわ、Web担当 神凪です。
これはWebサーバ管理者の一部の方々にとって、かなり悲報になるのでしょうね。

Googleのプレスリリース

Google社は先日9月11日、Google Security BlogにてSymantec社が発行する証明書についてのプランを発表しました。

一部を要約するとこうなります。

  • Chrome v66は、2016年6月1日以前に発行されたシマンテック発行のTLS証明書を有効な証明書と認めません。
  • Chrome v66は、2016年6月1日より前に発行されたシマンテック発行のTLS証明書を、2018年1月19日に暫定的に警告対象とします。
  • 2018年3月15日のベータ版、2018年4月17日以降の安定版では、有効な証明書と認めません。
  • 影響を受けるサイト運営者は、2018年3月15日までにTLS証明書を交換して事故を防ぐことを強く推奨します。

この有効な証明書に含まれる認証機関はSymantecで運営していた “Thawte”、“VeriSign”、“Equifax”、“GeoTrust”、“RapidSSL”といったブランドも含まれるようです。

VeriSign、GeoTrust、RapidSSLなど、企業レベルでも使用されている大きな認証局。それがChromeだけとはいえ有効な証明書ではなくなるのです。

この問題の背景

ざっくり言ってしまうと、Symantec社の運営そのものを疑問視しています。
即ち、2015年に発生した証明書問題、そのあとさらに2017年に入ってもう一度起こした証明書問題。2017年の問題はCA / Browser Forum Baseline Requirementsに準拠していなかったというものですが、これらの調査の中で組織としてのセキュリティに不足を感じたようです。

起こりうる問題

Chromeだけとはいえ、信頼されない証明書となってしまったこれらの証明書。
それでもChromeを使っているユーザ数を考えると、「信用されていないサイト」と逆の意味を表示させてしまいます。
そのためGoogle社でもしばらくの猶予期間を設けています。それが上記のとおり、最終的には2018年3月15日。

Web管理者は証明書発行先を変更することを検討しなければなりません。

移行先候補として

Google社では先の記事で、移行先の一つとしてDigiCert社を示唆しています。これはSymantec社のPKI事業を譲渡? した先の会社になります。Cybertrust社もDigiCert証明書を用意頂いていますね。
またはSymantec社翻してDigiCert社以外の発行局を選択するのもありでしょう。
現在入っている証明書を限界まで使用することを選択するのもまたその組織の選択としてはありえます。

いずれにしても、認証局の選定から証明書の発行まで、計画的に行わなければかなり時間がかかる作業です。
早めに調査、計画を行うことをおすすめします。。。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください