Symantec証明書の失効迫る GoogleがWebサイト管理者に対応呼びかけ
VeriSignやGeoTrust、RapidSSLなどSymatec傘下の認証局が発行した証明書は、Chrome 66から段階的に無効化される。
米Googleは3月7日、同社が「信頼できない」と判断したSymantec傘下の認証局の証明書について、WebブラウザのChrome 66から段階的に失効させる措置について改めて説明した。失効対象の証明書をまだ使っているWebサイトでは、できるだけ早く対応するよう促している。
失効の対象となるのは、Symantec傘下の認証局(CA)のThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどが発行したSSL/TLS証明書。こうした証明書の入れ替えを行っていないWebサイトは、Chromeを含む主要ブラウザの更新版で、エラー警告が表示されるようになる。
2016年6月1日より前に発行された証明書については、Chrome 66から無効になる。Chrome 66は2018年3月15日にβ版、4月17日には安定版が公開される見通し。Webサイト管理者は、自分のサイトが影響を受けるかどうか、Canary版で確認できる。
続いてChrome 70では、残るSymantecの証明書が全て無効になる。Chrome 70のβ版は2018年9月13日、安定版は10月16日に公開予定。影響を受けるかどうか確認するためには、まずChromeでWebサイトを開き、メニューから「デベロッパーツール」を選択すると、証明書の入れ替えが必要なサイトについてはその旨が表示される。
証明書の入れ替えが必要な場合は、信頼できるCAから新しい証明書を入手する必要がある。SymantecのCA事業を買収したDigicertも、信頼できるCAとみなされる。
関連記事
- Google Chromeチーム、Symantec証明書の段階的失効を提案
大手認証局(CA)を傘下に持つSymantecが証明書発行の不手際を繰り返しているとして、GoogleはChromeブラウザでSymantecが発行した証明書の有効期間を短縮するなどの措置を提案した。 - Google、ルート証明書発行の独自インフラを構築
米GoogleはGlobalSign R2とR4の2つのルート認証局を取得し、認証局を運営する「Google Trust Services」を開設した。 - Symantecの証明書発行に不手際、Googleが対応を要求
Symantecが要求に応じなければ、Google製品でSymantecの証明書が安全とみなされなくなる可能性もあると警告している。 - Let's Encrypt、ワイルドカード証明書を2018年1月から発行
管理者は1つの証明書と鍵の組み合わせを、1つのドメインとそのサブドメイン全てに使うことができ、HTTPSの導入がはるかに容易になるという。 - もはやHTTPの時代ではない グーグルがここまで“SSL化”にこだわるわけ
GoogleのWebブラウザ、Chromeの最新バージョンでは、SSL化していないサイトのテキストボックスに情報を入力しようとすると、警告を表示するようになりました。なぜ、ここまで“SSL化”にこだわるのでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.