一旦収束?Googleによるシマンテック証明書無効化事案

Google Chromeのシマンテック系証明書無効化がついに始まる?

Chromeにおけるシマンテック系SSL証明書失効に関する最終提案が出る

と2記事に渡ってウォッチしてたGoogleChromeのシマンテック証明書無効化事案について、新しい動きがあったのでまとめておきます。
“一旦収束?Googleによるシマンテック証明書無効化事案” の続きを読む

Chromeにおけるシマンテック系SSL証明書失効に関する最終提案が出る

Google Chromeのシマンテック系証明書無効化がついに始まる?
でお届けしていたGoogle Chrome vs シマンテックのしょーもないクソバトルに終止符が打たれようとしています。

ついにGoogle Chrome陣営から最終提案が出されました。
https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/El1mH8S6AwAJ

これによると、処置は2段階で達成される模様。
Chrome 66 will distrust Symantec-issued TLS certificates issued before June 1, 2016:
Chromeバージョン66において、2016年6月1日以前に発行されたシマンテック系証明書は失効されます。リリースは2018年4月17日とされているので、今までの8月31日 or 1月18日よりは大幅に延長されたことになります。これはGoogle陣営の譲歩ですね!っていうか、今各証明書販売業者から出ている再発行依頼で再発行しているのって、結局意味ないってことなのかな。急いで再発行した証明書を適用した人たち、南無三。

2段階め
Chrome 70 will distrust TLS certificates issued from Symantec’s old infrastructure:
ええええ、これシマンテックの以前のインフラで承認された証明書を失効させるって書いてあるんですが。シマンテックは2017年12月1日に新しい審査フローを取り入れた証明書発行フローへ移行すると案内しています。てことは、新しいフローで発行される以前、つまり今、買っているシマンテックの証明書も来年失効されるってこと?

Managed Partner Infrastracture

なんか投稿にはリンクがついてて、上のドキュメントが共有されています。その中で…

Existing certificates issued on or after June 1st 2016 would still be trusted, provided they comply with the Chrome CT policy. EV certificates issued on or after this date will continue to be granted EV treatment.

2016年6月1日よりあとに発行された証明書でも、ChromeのCTポリシーを満たしている証明書なら引き続き有効と受け取れます。また、EV証明書のうちこの期間のものは、引き続きEV証明書として機能すると記載されています。

CT=Certificate Transparencyですが、2016年6月1日以降に発行されているものは基本的にCT対応されているはずです。なので、実質二段階めの失効は殆どの証明書で対象がないのではないかと思います。

タイムテーブルの和訳などはこちらのブログが詳しいです。
Chromeがシマンテックの古い証明書を信頼しなくなる今後のスケジュール(メモ) – ASnoKaze blog

現在、シマンテックからの公式な案内は出ていない状態でなんとも言えないのですが、さくらインターネットを始め証明書販売業者は対象証明書の再発行や差し替えを進めているところに、制裁期限の延長や対象証明書の変更などがかかると対応が複雑になって結局エンドユーザーが混乱するという何とも言えない状況になる可能性があります。

現状をまとめると

  • Googleが最終提案を出してきた
  • シマンテックからは正式回答が出ていない
  • いま再発行しているのは5月頃のGoogle提案にあった8月8日期限に向けた予防措置で、8月8日という締切は撤回されたっぽい(たぶん)
  • 新しい直近の締切は2018年4月17日で、2016年6月1日以前に発行された証明書が失効
  • 2018年10月23日に、11月30日以前に発行されたCT対応していない証明書が失効

という感じですかねー。

Googleが安全なインターネットを追求するのはいいんですが、結局エンドユーザーに迷惑がかかっている状況を考えるとどうなんですかね。エンドユーザの迷惑考えて締切伸ばしたとか言ってるけど、正直この最終提案出してくるのも遅すぎだし。安全なインターネットとは誰のためにあるのか。SSL証明書を安全に使わせたいというGoogleの気持ちはわかりますが、シマンテックの対応の後手後手感と相まってエンドユーザーがただただ混乱する事態になっているんじゃないかという気しかしません。証明書差し替えるのめんどくさいんですよね。地味に。

自分もクライアントで対象証明書を入れていた案件があって再発行したりしてるんですが、結局急いで再発行いらなかったの?って思います。もー、認証局もブラウザの人たちも仲良くしてくれよ!

対象証明書がそんなに無いからかあまり大きな騒ぎにはなっていませんが、Googleもシマンテックも、エンドユーザーやサーバー運営者のことを考えて、最良の対応をしてほしいものだと切に思います。

Google Chromeのシマンテック系証明書無効化がついに始まる?

7月中旬から、相次いでSSL販売サイトでシマンテック、ジオトラストなどの証明書の一部再発行対応を指示するお知らせが出始めています。俺シマンテックの証明書なんか使ってるブルジョワじゃないから大丈夫!って思ってるあなた、1,500円で売ってるラピッドSSLも対応だから油断しないでくださいね。
“Google Chromeのシマンテック系証明書無効化がついに始まる?” の続きを読む

ブラウザに保護されていませんと表示された時にできること

ChromeとFirefoxブラウザにおいて、先日のアップデートからアドレスバーに「保護されていません」と表示される場合があるようになりました。これ、気持ち悪いので解消したいですよね。解消方法をサクっと書いてみます。ちなみに、Chrome56では保護されていない通信だったのが、Chrome57で保護されていませんになった模様です。なぜマイルドに…
“ブラウザに保護されていませんと表示された時にできること” の続きを読む

SSL証明書の選び方 2017年版

2017年になってSSLの検索数もだいぶ増えてきたので、内容を実態に合わせて改訂しました。また、失効情報を管理しているCRLとOCSPについて、利用するブラウザが増えているので、レスポンスの良さを考慮にいれるようにしました。

※現在、シマンテックのSSL証明書はChromeブラウザにおいて、最悪全数再発行&9ヶ月の有効期間に短縮する措置が検討されています。確定事項ではないので、本記事では判断要素に入れてませんが、最悪シマンテック系(ジオトラスト、ラピッドSSL、Thawte、Equifax)については再発行させられる可能性があるので、1年以上購入するのは控えたほうが良いかもしれません。

昨今常時SSL/TLS化が流行ってる中で、Web制作シーンでもサーバー証明書を選ぶ機会が増えてきてると思いますが、正直何を買っていいのかわからないというディレクターさんも多いハズ。というわけで、Webディレクター視点でみたSSL証明書の選び方を考えてみました。
“SSL証明書の選び方 2017年版” の続きを読む