Chromeにおけるシマンテック系SSL証明書失効に関する最終提案が出る

シェアする

Google Chromeのシマンテック系証明書無効化がついに始まる?
でお届けしていたGoogle Chrome vs シマンテックのしょーもないクソバトルに終止符が打たれようとしています。

ついにGoogle Chrome陣営から最終提案が出されました。
https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/El1mH8S6AwAJ

これによると、処置は2段階で達成される模様。
Chrome 66 will distrust Symantec-issued TLS certificates issued before June 1, 2016:
Chromeバージョン66において、2016年6月1日以前に発行されたシマンテック系証明書は失効されます。リリースは2018年4月17日とされているので、今までの8月31日 or 1月18日よりは大幅に延長されたことになります。これはGoogle陣営の譲歩ですね!っていうか、今各証明書販売業者から出ている再発行依頼で再発行しているのって、結局意味ないってことなのかな。急いで再発行した証明書を適用した人たち、南無三。

2段階め
Chrome 70 will distrust TLS certificates issued from Symantec’s old infrastructure:
ええええ、これシマンテックの以前のインフラで承認された証明書を失効させるって書いてあるんですが。シマンテックは2017年12月1日に新しい審査フローを取り入れた証明書発行フローへ移行すると案内しています。てことは、新しいフローで発行される以前、つまり今、買っているシマンテックの証明書も来年失効されるってこと?

Managed Partner Infrastracture

なんか投稿にはリンクがついてて、上のドキュメントが共有されています。その中で…

Existing certificates issued on or after June 1st 2016 would still be trusted, provided they comply with the Chrome CT policy. EV certificates issued on or after this date will continue to be granted EV treatment.

2016年6月1日よりあとに発行された証明書でも、ChromeのCTポリシーを満たしている証明書なら引き続き有効と受け取れます。また、EV証明書のうちこの期間のものは、引き続きEV証明書として機能すると記載されています。

CT=Certificate Transparencyですが、2016年6月1日以降に発行されているものは基本的にCT対応されているはずです。なので、実質二段階めの失効は殆どの証明書で対象がないのではないかと思います。

タイムテーブルの和訳などはこちらのブログが詳しいです。
Chromeがシマンテックの古い証明書を信頼しなくなる今後のスケジュール(メモ) – ASnoKaze blog

現在、シマンテックからの公式な案内は出ていない状態でなんとも言えないのですが、さくらインターネットを始め証明書販売業者は対象証明書の再発行や差し替えを進めているところに、制裁期限の延長や対象証明書の変更などがかかると対応が複雑になって結局エンドユーザーが混乱するという何とも言えない状況になる可能性があります。

現状をまとめると

  • Googleが最終提案を出してきた
  • シマンテックからは正式回答が出ていない
  • いま再発行しているのは5月頃のGoogle提案にあった8月8日期限に向けた予防措置で、8月8日という締切は撤回されたっぽい(たぶん)
  • 新しい直近の締切は2018年4月17日で、2016年6月1日以前に発行された証明書が失効
  • 2018年10月23日に、11月30日以前に発行されたCT対応していない証明書が失効

という感じですかねー。

Googleが安全なインターネットを追求するのはいいんですが、結局エンドユーザーに迷惑がかかっている状況を考えるとどうなんですかね。エンドユーザの迷惑考えて締切伸ばしたとか言ってるけど、正直この最終提案出してくるのも遅すぎだし。安全なインターネットとは誰のためにあるのか。SSL証明書を安全に使わせたいというGoogleの気持ちはわかりますが、シマンテックの対応の後手後手感と相まってエンドユーザーがただただ混乱する事態になっているんじゃないかという気しかしません。証明書差し替えるのめんどくさいんですよね。地味に。

自分もクライアントで対象証明書を入れていた案件があって再発行したりしてるんですが、結局急いで再発行いらなかったの?って思います。もー、認証局もブラウザの人たちも仲良くしてくれよ!

対象証明書がそんなに無いからかあまり大きな騒ぎにはなっていませんが、Googleもシマンテックも、エンドユーザーやサーバー運営者のことを考えて、最良の対応をしてほしいものだと切に思います。

スポンサードリンク
 
シェアする