Symantec(シマンテック)傘下の認証局(CA)が発行する証明書に、信頼性の低いものが含まれているとして、GoogleはブラウザChromeでシマンテックの認証局が発行する証明書を段階的に失効させる計画を明らかにしています。そのシマンテックがCA事業を売却することになったことに伴って、Googleがあらためてシマンテック証明書の取り扱いをSecurity Blogでまとめています。
Google Online Security Blog: Chrome’s Plan to Distrust Symantec Certificates
Chrome’s Plan to Distrust Symantec Certificates
Posted by Devon O’Brien, Ryan Sleevi, Andrew Whalley, Chrome Security This post is a broader announcement of plans alrea...
security.googleblog.com
GoogleはChromeでのシマンテックCA発行の証明書を、将来的に無効にすることを明らかにすると共に、事前にスケジュールを明らかにしておりましたが、そのシマンテックがPKI事業をDigiCertに売却することになったため、GoogleはあらためてシマンテックCAが発行する証明書のChromeでの取り扱いが以下の通りであることを表明しています。
証明書無効化スケジュール
| 日時 | 内容 |
|---|---|
| 遅くとも2017年12月1日以降 | シマンテックCAは2017年12月1日までにDigiCertのシステムに移管される予定ですが、移行が済んでからは旧シマンテックCAから発行された証明書はChromeでは信頼されないものとして扱われます。具体的にはChromeでは該当ページに警告やエラーが表示されることになります。 |
| 2018年3月15日以降 | バージョン66以降のChromeでは、2016年6月1日以前にシマンテックCAによって発行された証明書が無効化されます。このため、2016年6月1日以前にシマンテックCAから発行された証明書を利用するサイト運営者は、Chrome 66のリリース前に信頼できる認証局の発行する証明書に置き換える必要があります。なお、Chrome 66は2018年3月15日にベータ版が、2018年4月17日に安定版がリリースされる予定です。 |
| 2018年9月13日以降 | 2018年9月13日にベータ版が、2018年10月23日に安定版がリリースされる予定のChrome 70では、シマンテックCAが発行したすべての証明書は信頼できないものとして取り扱われます。 |
対象の証明書
無効化の対象となる証明書は以下の通りです。
- RapidSSL
- RapidSSL(ファイル認証専用)
- RapidSSL Wildcard
- GeoTrust QuickSSL Basic
- GeoTrust Quick SSL Premium
- GeoTrust True BusinessID
- GeoTrust True BusinessID Wildcard
- GeoTrust True BusinessID with EV
- Symantec Secure Server ID
- Symantec Secure Server ID Wildcad
- Symantec Secure Server ID with EV
- Symantec Global Server ID with EV
Google Chromeブラウザへの対応方法について
Symantec(シマンテック)傘下の認証局(CA)以外が発行する証明書への乗換えにて、Google Chromeブラウザの影響によるエラーを回避できます。
以下の表にて推奨する乗換え先証明書を記します。
| 認証方式・種別 | 無効化対象の証明書 | 推奨する乗換え先証明書 |
|---|---|---|
| ドメイン認証・シングルタイプ |
|
|
| ドメイン認証・ワイルドカード |
|
|
| 組織認証・シングルタイプ |
|
|
| 組織認証・ワイルドカード |
|
|
| EV認証・シングルタイプ |
|
|
コメント