警告表示の強化について
Google Chromeブラウザではセキュリティ強化のため、SSLサーバー証明書(以下、SSL証明書)を導入していないサイトに対してアドレスバーへの警告表示を2017年から徐々に強化しています。
Chromeの強制的な警告表示が2018年7月から開始
現時点で最新版であるChrome69では、https化されていないサイトのアドレスバーに「保護されていない通信」(Mac OSの場合は「保護されていません」)という警告がグレー文字で常に表示されています。10月16日にリリース予定のChrome70では、サイト内のテキストボックスに文字を入力すると、この警告が赤文字に切り替わるため、より警告表示が目立つようになります。
参考:Google ウェブマスター向け公式ブログ
デジサート証明書の失効対応について
今回の失効対応について背景を説明すると、過去にデジサート社(旧シマンテック・ウェブサイトセキュリティ社)がSSL証明書を不正に発行したことに対し、Google社が「シマンテック社の証明書発行ポリシーや業務が信頼できなくなった」として、Chromeブラウザにて段階的にSSL証明書の有効期限短縮やEVステータスを無効化することを2017年3月に提案しました。その後、Google社は何度か提案を行いますが、旧シマンテック社がそれを受け入れない状態が続きます。
2017年7月にGoogle社は最終的な提案として、Chromeブラウザにて段階的に旧シマンテック社のSSL証明書を全て失効することを提案しました。同時に2017年12月1日までに第三者認証機関を用意し、そこで認証作業を行う(旧シマンテック社の認証基盤は利用しない)ことを提案しました。その提案の翌月、旧シマンテック社はデジサート社に買収され、さらにその翌月にデジサート社がGoogle社の最終的な提案を受け入れることを公表しました。
この”最終的な提案”により、特定の期間に発行された旧シマンテック社のSSL証明書の失効対応がChromeブラウザにて段階的に実施されている状況です。10月にリリースされるChrome70では、該当するSSL証明書を利用しているサイトにアクセスした場合、エラーが表示されてサイトが閲覧できなくなります。
Chromeブラウザの表示について
失効対象に該当するSSL証明書を利用しているサイトにアクセスすると、以下のようなエラー画面が表示されます。(エラーコード:NET::ERR_CERT_SYMANREC_LEGACY)
このようにサイト自体の閲覧がブロックされるエラーが表示されるため、該当するSSL証明書を利用している方は早急にSSL証明書の再発行や更新を行う必要があります。
失効対象となるSSL証明書の見分け方
デジサート・ジャパンではサイトに設定されているSSL証明書が失効対象かどうかを確認するチェックサイトを提供しています。こちらのサイトにURLを入力して確認することができます。失効対象となるSSL証明書を利用している場合は、以下のように表示されます。
ここで記載されている2018年9月13日とは、Chrome70のベータ版リリース日となっており、多くの人が利用している正式版は2018年10月16日にリリースが予定されています。
Chromeブラウザは自動でアップデートされるので注意!
「Chromeブラウザのバージョンアップなんてやったことないぞ?」と思う方も多いかもしれませんが、現行バージョンのChromeブラウザは自動アップデート機能が備えられており、最新版がリリースされると数日以内に自動でアップデートされます。このため、多くの人が意識せず最新版のChrome 70へアップデートされ、失効対象のSSL証明書を利用したサイトにアクセスすると閲覧できなくなってしまいます。
対応方法
[さくらのSSLにてデジサート証明書をお買い上げのお客様へ]
Chromeブラウザによるデジサート証明書の失効対応について、さくらのSSLで対象のSSL証明書をお買い上げのお客様には個別で再発行のご案内をしております。2018年9月現在、対象のお客様全員へのご案内が完了しておりますので、まだ再発行されていないお客様はメールをご確認ください。また、詳しいエラー表示、対象証明書の判別方法についてはサポートサイトをご覧ください。
失効対象に該当するSSL証明書を利用していた場合、再発行を行うことによりDigicert.com発行のルート証明書に切り替わるため、失効対象ではなくなります。更新時期が近い方は、更新手続きを行うことでもルート証明書が切り替わります。
また、他社のSSL証明書に乗り換えることも可能です。さくらのSSLでは、年間990円(税込)から利用できるJPRSドメイン認証型をはじめ、法人の方におすすめな”最も厳格な認証方式”を採用しているSure Server EV for SAKURAも取り扱っています。 もちろん、再発行や新しいSSL証明書を取得した場合、再度サーバーへ設定し、証明書を書き換える必要があるのでご注意ください。
再発行時に有効期限が短縮される?
「そういえば最近、有効期限が3年のSSL証明書って見ないね」と思う人も多いのではないでしょうか?実は認証局とブラウザ開発団体との話し合いから策定される取り決め(Ballot193)により、2018年4月1日以降、有効期限が2年(正確には825日)を超えるSSL証明書が発行できなくなりました。このため、826日以上の有効期間が残っているSSL証明書の再発行を行うと、強制的に825日の有効期間に短縮されてしまいます。
もちろん、この仕様に関してはデジサート証明書の再発行時にも適用されるため、再発行時点で826日以上有効期間が残っている場合は、強制的に825日に短縮されて再発行されるので注意しましょう。
Chromeブラウザ以外の対応
デジサート証明書の失効対応について、10月23日にリリース予定のMozilla Firefox63でもGoogle Chromeと同様の失効対応が行われると発表されているため、Firefoxを利用する際にも同様の表示が行われることが予想されます。Internet ExplorerやMicrosoft Edge、Safariでは今のところ対応は予定されておりません。AndroidスマートフォンやiOS用Chromeでも、時期はわかりませんが失効対応が行われると思われますので、注意が必要です。
このように、ブラウザによってはサイトを見ることができる・見ることができない、と差が出てしまうこともポイントのひとつです。普段使っているブラウザでは確認できない場合がありますので、必ずGoogle ChromeのPC版を使って、ご自身で運営されているサイトがきちんと表示できるかどうかを確認しておきましょう。β版やCanary版を利用することで正式リリース前のバージョンを確認することも可能です。
まとめ
いよいよデジサート証明書の再発行期日が迫ってきました。さくらのSSLでも対象のお客様に再発行のご案内をしていますが、現在でも2割以上のサイトが未対応です。サイトが閲覧できなくなるという重大な事象ですが、注目度が低く、なかなか準備が進んでいない状況です。Webサイトの運営に携わる方はご自身に関係するサイトのSSL証明書を今一度確認して、再発行が必要であれば購入元のサポート情報などを確認してみましょう。