ページ目次
RapidSSLという中小サイト運営にとってありがたい存在
SSLの導入がほぼほぼ必須となってきた昨今ですが、SSLってとてもお高いイメージがありました。そこに現れた「RapidSSL」。年額4,000円少しでSSL証明書が発行できるということで多くの方がこぞって導入したのではないかと思います。
Web担当者のためのセキュリティの教科書
株式会社アズジェント/中山貴禎 (著)
¥2,160
Chrome、Symantec系のSSLは認めないってよ
じつは、Symantec系のSSL証明書発行が業界標準に従わずに不正に発行及び管理されていたことが明らかになりました。
その措置として、Googleは同社のWEBブラウザ「Chrome」において、Symantec系の証明書を信頼しない(アドレスバーが緑にならない)ようにと検討していたのです。
それがようやく決定事項となり、これから段階的に同SSL証明書の信頼を削っていくタイムテーブルが示されました。
Symantec系のSSL証明書発行ブランドは
本投稿のタイトルでも指摘したRapidSSLはもちろんのこと、Symantec系の証明書発行元は他にもあります。個人的に日本でよく利用されていると思う(名前をよく聞く)のは、「GeoTrust」、「VeriSign」あたりでしょうか。
第一の期限は2018年4月
2018年4月17日リリース予定のChrome66(安定版。ベータ版は3月15日予定)で2016年6月1日より前に取得した証明書が使えなくなります。(2017年9月28日現在のChrome最新版は61)
対象となる証明書を利用しているサイトは、次回のバージョン(Chrome62)で、Devツールにアラートが表示されるようです。
最終期限は2018年10月
2018年10月23日にChrome70(安定版。ベータ版は9月13日)のリリースが予定されており、そこでSymantec社系のSSL証明書はすべて信頼を破棄されるようです。
つまり、あと1年ちょっとで「GeoTrust」、「VeriSign」、「RapidSSL」はSSL証明書として利用できなくなります。
と、ここまで煽っておいて…
Edge、Firefox、Safariなどの対応は分からない
これまで書いたことはゆるぎない事実なのですが、この対応はあくまでもGoogle Chromeにおいての話です。その他のブラウザベンダーさんがどういう対応を取るのかはまったく分かりません。
Symantec社の対応
同社は、2017年12月1日までに新しくルート認証局の運用を開始し、証明書を再発行するとしており、Googleも、この再発行された証明書には上記に述べたような措置は及ばないことを承認しています。
要するに、Symantecが12月までに証明書を再発行するのでそれをサーバーにインストールすれば今のところ問題ないのではないか。ってことですかね。
ここまで煽ったくせにこんな結論ですみません。てへぺろ。
ただ、予定は未定…。
サーバー側を自分でイジれるならレッツエンクリプトを投入するってのもありですね。
→【参考】SSLが無料で使えるCertbot(Let’s Encrypt)をNginxに投入した