treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

SymantecのSSLサーバ証明書

2018年はSymantecのSSLサーバ証明書を利用しているユーザにとってはちょっと気にしておいた方がイイ、という話があります。
今日はその辺をちょっとご報告。

Firefox サイト互換性情報より

見掛けた記事は
「Symantec から発行された証明書の信頼が近く失われます」という記事

www.fxsitecompat.com

これを見ると(※以下、概要)
2018年5月9日に供給されるFirefoxのバージョン60では、
2016年6月より前のSymantecの証明書が使われているWebサイトを開くと気に「安全でない接続」と表示されるエラーページが出るようになる。
という点が一点。ついで
2018年10月16日に供給されるFirefoxのバージョン63では、
Symantecで発行されたすべて証明書がエラーになる。
Point1:発行日は関係ない、Symantecの証明書は全部エラーになる。
Point2:「安全でない接続」というエラー表示はバージョン60の時と同じエラー

という事らしいです。

2018年10月といえば、2018年10月23日リリース予定のChrome70でも警告表示がされるという話を聞いた記憶があります。

この辺FirefoxもChromeに追従ということだと認識しました。

これの意味するところでは…

2017年の12月以前(2017年11月までで)更新していたSSLサーバ証明書は、2017年12月以降に(新たなPKI基盤で、と表現されている)再発行されたSSLサーバ証明書をサーバに適用しないと、前述の「安全でない接続」ページが表示されてしまうようになる、ということです。

f:id:treedown:20180323150235p:plain

2017年12月以降の更新であれば、この問題に対策された状態のSSLサーバ証明書が発行されているので、特に気にせず、ルーティン通りの更新でOK、という事になります。

Googleとのゴタゴタ?

どうもSymantecのパートナー企業で"不適切な証明書の取り扱い"をしてしまったことが発端のようです。
SymantecのSSLサーバ証明書のユーザであれば、この辺の話はSymantecのメール配信でちょくちょく来ていたのですが、SymantecとGoogleで協議しています云々、という話は来ていました。動向を見守っていたのですが、どうやらSymantecからDigiCertへの譲渡で決着したみたいな感じがします。

この辺が詳しい解説:

Google、Symantec証明書に対する信頼を段階的に削減。「Google Chrome 70」で完全削除 - 窓の杜

Chromeで信頼されなくなるSymantec発行のSSL証明書かどうか判定・確認する方法:Tech TIPS - @IT

いま、旧SymantecのSSLサーバ証明書の契約はデジサート・ジャパンとの契約になっています。
DigiCertがSymantecのWebSiteセキュリティ事業や関連するPKIソリューションを買収することで問題は決着したみたいです。