エコモットアドベントカレンダー6日目のエントリーです。
今年に入って盛り上がっていましたGoogleさんのSymantecさんに対する激おこ(笑)状況、
SSL証明書の無効問題についておさらいします。
運用課の山内です。今年も残り1ヶ月ですが、よろしくお願いいたします。
今回も地味なネタですが、自分のノート的に書いておきます。
今日のお題は「SSL証明書」
普段SSL証明書は、それ自体が価値のあるため、お金出して皆さん購入してそれぞれのサイトの
信頼性を高めアピールしているのですが、近年、証明書の発行自体についていろいろ問題を耳に
することが増えてきました。これに業を煮やしたのか、Googleさんが雄たけびを上げました。
9月11日にGoogle社のセキュリティブログ上で下記アナウンスがされました。
(以前から色々やりとりされていましたが・・)
「Chrome’s Plan to Distrust Symantec Certificates」
https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
上記ブログ内では、Symantec社のPKIが発行した、基準に準拠しない証明書を多数発行したこと
について言及しており、同社の不適切な管理について指摘しています。
要は、「Symantecさんが発行した古い証明書はChrome上ではもう無効だからね!」って感じです。
結局、Googleが信頼できる認証環境を構築するために、Symantec社のPKIビジネスをDigiCert社
に売却する方向で収束しました。
Symantec Website Securityからの重要なお知らせ – DigiCert社との合意について
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=ALERT2420&actp=LIST&viewlocale=ja_JP&locale=ja_JP&redirected=true
当然、証明書として認められないと、ブラウザ上でアラートが毎回表示されてしまいます。
※ただし、影響を受けるのはChromeだけですが
回避方法については、Symantec社側より提示されています。
【FAQ】Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法について
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=SO29553&locale=ja_JP&redirected=true
Symantec社管轄の証明書は、Thawte / VeriSign / GeoTrust / RapidSSLなど
有名どころが軒並み入っており、システム管理者の頭を悩ます種となっていました。(私も含む・・)
個人的にも証明書をいくつか持っていますが、もろにかぶっている状態です。(溜息)
Googleが提示している、今後のタイムスケジュールですが、下記の通りです。
■2018年3月15日 Chrome66 beta 2016年6月1日より前に発行された証明書は、警告対象!
■2018年4月17日 Chrome66安定版リリース
■2018年9月13日 Chrome70 beta Symantecより発行された古い証明書すべてが警告対象!
■2018年10月23日 Chrome70安定版リリース
証明有効期間が3年間のような証明書を購入されている場合は、「2016年6月1日より前」の
基準に引っかかるかも知れません。その場合は、来年の4月までには置き換えが必要になり
ます。(betaの対応も必要なら3月)一年更新とかされている方のほとんどは、来年の10月
がリミットになりますね。
事前に予告されていた、12月1日までのDigiCert社へのPKI環境移行については、先日、
10月31日(米国時間)に買収完了が公表されています。
「デジサートによるシマンテックのウェブサイトセキュリティ事業の買収完了について」
https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq
SSL証明書販売は販社が複数あるので、各ご自分の購入元で情報を確認してください。
(中間証明書の更新もありますねー)
なかなか面倒ですが、地道な対応がインフラ屋さん本業です。
今の時代はプログラマの方も必須なのでしょうか。
※証明書の入れ替えだけなので、再発行手続きがめんどいだけです。
みなさん頑張りましょう!
