Symantecの証明書が信用できなくなる件


うちのブログもそうですが、SSL通信に必要なSSL証明書。
発行大手でもあるSymantecの証明書が段階的失効がそろそろ開始するということでそわそわしてみました。
Symantecのアナウンスは下記を参照してください。

Google Chrome 66, 70 における警告回避のための再発行について

そもそもどうしてこうなった!というのは簡単に言うとSymantecのパートナーが明らかに不正なドメインに対してSSL証明書を発行(発行にはSymantecのシステムを用いる)してしまったため、そもそもSymantecとしての信頼性が無くなっちゃうよねというのが発端になっています。


ではいつごろからというとわかりやすい画像が@ITにあったので拝借してみました。

  • 2016年5月以前に発行された証明書: Chrome Ver.66から信頼されなくなる
  • 2016年6月以降に発行された証明書: Chrome Ver.70から信頼されなくなる

もうちょっと細かく書くと

  • 03月15日 Chrome 66ベータ版リリース
  • 04月17日 安定版リリース
  • 09月13日 Chrome 70ベータ版リリース
  • 10月17日 安定版リリース

となります。

Chrome以外ではFirefoxもだいたいこんなスケジュールで段階的に信用しなくなるみたいです。(IEとかその他は不明)
さて、実被害を受けるのはSymantecから直接発行されたものだけに限りません。
Symantecの傘下だったGeoTrustやRapidSSL、Thawteなども含まれます。


そうなんです。うちのサーバーに入れているSSL証明書もGeoTrust製なため信用できなくなってしまうかもしれないんです!!
でもまぁ本当にだめなのかは時が来ないとはっきりわからないのが恐ろしいところ。
なので実際にダメなのかはV62以降のChromeさんであれば今後信頼されなくなる対象だったら警告を発する機能が実装されているそうなのでそれを利用し判定してもらうというのが今のところ確かな方法になりそうです。


ということで、判定してもらいました。
あ、やっぱダメな奴じゃないですか(´;ω;`)ウゥゥ

うちの子は発行日が「2016年9月9日」なのでChrome 70が出るまでは何とかなるようです。
では、信頼されなくなる証明書はどうすればいいのか?
それは再発行するしか手はありません。
Symantec自体証明書関係は既にDigiCertに売却してしまっているのでそこで再発行するのが良いでしょう。
もうこの際だから無料SSL「Let’s Encrypt」でもいいんじゃないかとも思っています。