世界30%のSSL証明書が3月と10月に強制無効化！？ あなたのサイトが大丈夫か確認する3ステップ

今日は、WebサイトのSSL/TLSサーバー証明書の話題です。世界で30%以上のシェアを占めるシマンテック系のSSLサーバー証明書が、2018年3月と10月に、段階的に無効扱いされるようになります。自分のサイトは大丈夫か確認する方法と、なぜそうなったのか、対応方法などを解説します。

2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化

ベリサイン／シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。

対象のサーバー証明書の発行元：

• Symantec
• GeoTrust
• RapidSSL
• Thawte

無効化スケジュール：

• 2018年3月15日ごろ： Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる
• 2018年4月17日ごろ： Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる
• 2018年9月13日ごろ： Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる
• 2018年10月23日ごろ： Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼しないようになる

上記の対象となるSSLサーバー証明書を使っているサイトは、証明書の期限がもっと先まで有効だったとしても、ブラウザ側で正当な証明書を使っているとみなされなくなります（つまりHTTPSではなくなる）。

上記はGoogle Chromeでの予定ですが、Firefoxも同様のタイミングで同じように対応していくことを発表しています（IE・Edge・Safariなどは未定）。

自分のサイトが対象かチェックする方法

自分のサイトが上記のスケジュールで無効化される対象かどうかを確認するには、サーバー証明書の発行元名を確認します。

Chromeでの確認方法を次に示します。

1. ブラウザで自分のサイトのHTTPS部分の証明書を表示する。

   

2. 証明書が表示される。

   Windowsの場合は［詳細］タブを選び、上のペインで［発行者］を選ぶ。下のペインに表示される内容の「O = 」の値（証明書を発行した組織の名前）を見る。

   

   Macの場合は、証明書の詳細な情報を表示し、「発行者名」の「組織」を見る。

   

3. 「O = 」（Macの場合は「組織」）が次の場合は対応が必要。

   • Symantec Corporation（シマンテック ウェブサイトセキュリティ）
   • GeoTrust Inc.（ジオトラストまたはRapidSSL）
   • thawte, Inc.（ソート）

   「O = 」（Macの場合は「組織」）が「DigiCert Inc」や上記以外の値の場合は対応不要。

なにが起きてるの？ なぜこんな確認が必要になったの？

すでに利用していて問題がないはずのSSLサーバー証明書が、なぜ突然無効化されるのでしょうか？

その背景にあるのは、証明書発行の信頼性に対するグーグルの指摘です。

グーグルが2017年6月に「シマンテック・ウェブサイトセキュリティのSSLサーバー証明書発行手続きに問題があり、信頼できる証明書として扱うわけにはいかない」として、同社系列が発行したSSLサーバー証明書をChromeで段階的に信頼しないようにしていくことを発表しました。

Webサイトのセキュリティや信頼性を守るSSLサーバー証明書は、本来ならば厳格な手続きを経て発行しなければいけないものです（特にEV SSL）。しかし不適切な手順でシマンテックが発行したとみられる証明書が相当数あり、Webサイトのなりすましにつながる可能性があったのです。

シマンテックは、旧ベリサインを含むいくつかの証明書ビジネスをもっており、世界のWebサーバー証明書で30%以上のシェアをもつと言われます（Netcraft調べ、2015年）。そのほとんどの証明書は正規の手続きを経て発行されたものだと思われます。しかし、明らかに問題があるとされているもの以外にも不正に発行された証明書が存在するリスクがあれば、ブラウザ側としてはそのリスクを考慮しなければいけません。

この件に関してグーグルとシマンテックの間でコミュニケーションが進められたのですが、結果として適切に問題が解決されなかったため、グーグルは証明書を信頼しないようにする判断をしたということです。

対象となるのは、シマンテックと系列会社の発行する「Symantec」「GeoTrust」「RapidSSL（発行元名はGeoTrust）」「Thawte」の証明書。

その後シマンテックは、証明書のビジネスをDigiCert社に売却しました。DigiCertは、証明書の発行や管理などのインフラに強みがある企業です。

DigiCertでは今後はしっかりとした基準に基づいて証明書発行のビジネスを行っていくほか、認証局を日本に設立するなど、さらにビジネスを強化していく予定とのこと。

対象の証明書を使っていたら、どうすればいいの？

現在DigiCertは、無効化の対象となる証明書を、DigiCertの新たな認証ポリシーに準拠した新たな証明書に置き換える手続きを進めています。

しかし、サーバー証明書は利用企業のWebサーバーにインストールして利用する仕組みのため、利用企業側が新しい証明書を発行して入れ替える作業をしなければいけません。

そのためDigiCertでは、すべての利用企業に対して連絡をとっているとのことです。

ただし、DigiCert側が連絡をとれるのは、証明書発行の手続きをした連絡先だけです。そのため、担当者が退職していたり、事情を知らなかったり、メールを見逃していたり、伝達漏れがあったりした場合、証明書の差し替えが必要なのに適切に行われない可能性があります。

再発行は（同じ有効期限ならば）無料で行うとのことですので、自分のサイトが大丈夫か、Web担当者さんは確認しておくと安心できていいですね。

ちなみにWeb担もネッ担もバッチリ対象でした。念のためにシステム担当の部署に確認をしようと思います。