長いことバタバタしていたシマンテックのSSL/TLSサーバ証明書へ対してのGoogleからの制裁についてですが、やっとこさ制裁内容が明確になりましたね。
以下のサイトで詳しく書かれていますが、簡単にまとめてみました。
シマンテックの証明書を使っているサーバ管理者の方の参考になれば幸いです。
Chrome が Symantec の証明書に対する信頼を破棄する予定について
https://developers-jp.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
サーバ証明書が影響を受ける内容
まずは影響を受ける証明書について明確にします。
影響を受ける証明書は2タイプあります。
- 2016年6月1日よりも前に発行され、2018年3月15日以降の有効期限の証明書
- 2016年6月1日以降に発行された証明書で2018年9月13日以降の有効期限の証明書
これでもちょっとわかりづらい、という場合は、
まず、有効期間開始日(証明書の発行日ですね)をチェックしてください。
A、2016年6月1日よりも前だった場合
- 有効期限が2018年3月15日よりも前→対応不要
- 有効期限が2018年3月15日以降 →再発行が必要
となります。
ちなみに再発行についても少々ややこしくて、有効期限が2018年9月13日以降の証明書の場合は、2017年12月1日に開始される※Managed Partner Infrastructureになってからしないと意味がありません。
※シマンテックがDigiCertの認証システムを使って発行する新しい認証局
有効期限が2018年3月15日以降で2018年9月13日よりも前の証明書の場合は、今のシマンテックCAで再発行をしてしまっても問題ありませんが、複数持っていたりよくわからん、と言う場合は、12月1日以降にしたほうが良いかもしれません。
B、2016年6月1日以降の場合
- 有効期限が2018年9月13日よりも前→対応不要
- 有効期限が2018年9月13日以降 →再発行が必要
となります。
こちらの場合の再発行は必ず新しいManaged Partner Infrastructureから行う必要がありますので、2017年12月1日以降にしなければなりません。
サーバ管理者がしなければならないこと
サーバの管理者としてはそのサーバで使われている証明書の有効期間を確認し、必要に応じ再発行をする必要があるわけですが、場合によっては再発行ではなく更新することで乗り切れることもあります。
サーバ証明書ってだいたい3ヶ月前くらいから更新が可能なので、焦って再発行するよりも有効期限を見極めて更新できるタイミングまで引っ張るという判断もありですよね。
また、上記の日付はあくまでもベータ版のリリースタイミングでの内容となりますので、安定版(実際にエンドユーザに配信されるバージョン)をターゲットとして考える場合は1ヶ月くらい猶予があります。
手間や費用、リソースなんかを考えながら最適解を導き出すことが求められます。
対象はシマンテックの証明書だけなのか?
Google対シマンテック、という話から対象がシマンテック(旧ベリサイン)の証明書だけだと思っている方もいるようですが、対象はシマンテックグループなので
- ジオトラスト(Geotrust)
- ラピッドSSL(RapidSSL)
- ソート(thawte)
のシマンテックブランド以外の証明書も対象です。
自分ところはシマンテックじゃないから大丈夫、なんて思っているといつの間にやらChromeからエラーが出るようになっていた、なんてことになりかねませんので、注意が必要です。
実はChrome62から影響は出始める?
ここまでChrome66からの影響として書いていますが、実はChrome62から裏側では対応が始まっています。
シマンテックの証明書を使っているサイトにアクセスしデベロッパーツールを起動しコンソールを確認すると以下のメッセージが確認できます。
The certificate used to load https://コモンネーム uses an SSL certificate that will be distrusted in an upcoming release of Chrome. Once distrusted, users will be prevented from loading this resource. See https://g.co/chrome/symantecpkicerts for more information.
これは今後シマンテックの証明書が信頼されなくなりますよ、という注意書きですが、GoogleのブログによるとChrome 66 での信頼破棄によって影響を受ける証明書を評価するアラートとありますが、実際のところChrome66 で影響を受けるものだけでなく、シマンテックグループの証明書に対して一律で出しているメッセージっぽいですね。
まぁ、特にここの内容は気にしなくて良いと思います。
結局Googleとシマンテックの問題は何だったのか?
結局この話の顛末としては、シマンテックがGoogleの制裁を受けたが、シマンテックは証明書事業を切り離して直接の影響はあまり受けない状態に持っていったということかと思います。
シマンテックはうまいこと回避したなぁ、と思いますが、Googleとしてはこれで良かったのでしょうか、という気がしなくもないですね。
また、シマンテックはDigiCertへのSSL/TLS事業売却という一連の流れで10億ドル近い売却益を得ることに成功しています。
シマンテックという会社自体、M&Aで大きくなった会社なので、今回の売却もその一環と言ってしまえばそれまでですが、結局ユーザ側の手間ばかりが増えただけで、何にも解決してないような気がして白けてしまいますね。
コメント