Chrome 70公開日に新たな対応方針を公表
2018年3月7日、Googleはセキュリティブログにて旧シマンテック系SSLサーバー証明書(以下、SSL証明書)に対する今後の方針やスケジュールを公開しました。その記事にはChrome 70以降、旧シマンテック系SSL証明書は全て機能しなくなり、エラーが発生すると書かれていました。しかし、Chrome 70を公開した10月17日にその記事は更新され、公開時点でのエラー表示は数%のユーザーに限られ、今後数週間に渡って適用範囲を広げていく旨が追記されました。
Google Online Security Blog: Distrust of the Symantec PKI: Immediate action needed by site operators
本コラムを執筆している11月上旬では、多くのPC版ブラウザではエラー表示が有効化されていません。実際、周囲の人にエラー画面が表示されるか聞いてみたところ、エラー画面が表示されたのは僅か数人でした。(Android版ブラウザでは比較的速く適用が進んでいるように見受けられました)
また、Firefoxブラウザの開発元であるMozillaにおいては、旧シマンテック系SSL証明書の入れ替えが進んでいないことを危惧して、証明書無効化の適用を遅らせることを公表しています。
Delaying Further Symantec TLS Certificate Distrust | Mozilla Security Blog
Firefox 63から無効化が適用される予定でしたが、上記理由によりFirefox 64から適用開始に変更されました。Google側でも想定以上にSSL証明書の入れ替えが進んでいないことを危惧して、今回のような”段階的な無効化措置”が取られたのだと思われます。このため、対応期間に余裕が出ているようにも見えますが、Chrome 70以降はバージョンアップに関係なく無効化が実施されますので、「昨日まで問題無くサイトを見られていたのに、今見たらエラーが表示されて見られなくなった!」という可能性は十分にあり得ます。まだ旧シマンテック系SSL証明書を利用している方は、早めの対応(再発行や更新、証明書の乗り換えなど)をおすすめします。
旧シマンテック系証明書の今後について
Chrome 70の公開、すなわち証明書無効化の適用開始により、ルート証明書が旧シマンテック系となるSymantec、Thawte、Verisign、Geotrust、EquifaxのSSL証明書は全て無効化されるため、新たにDigicertのルート証明書で署名されたSSL証明書が各社で利用されている状況です。これらはいわゆる新しいインフラから発行されたSSL証明書であり、今後新たな対応がされない限り、有効期間の間は問題無くSSL証明書を利用することができます。
今回の件に限りませんが、SSL証明書の歴史は秘密鍵の危殆化や不正発行と戦い続ける歴史であり、今後もこういった大規模な失効/無効化が発生する可能性はゼロではありません。また、SSL証明書の有効期間は短くなる傾向にあります。2018年2月末まで有効期間の最長は3年でしたが、業界の取り決めにより現在は2年(正確には825日)に短縮されています。このようなこともあり、特に大規模システムを構築している企業等はSSL証明書の更新作業を外注しているケースがあると思います。避けては通れない更新作業の負荷を下げるためにも、GUIから簡単に秘密鍵と証明書を更新できる仕組みを作るなど、より簡易に対応できるようなシステム構築が求められる時代が来ています。
ブラウザ警告表示の今後について
旧シマンテック系のSSL証明書を利用しているサイトへの警告表示は、今回のChrome 70公開で一段落となりましたが、非SSLサイトへの警告表示については今後も強化されていくことが予想されます。現在はサイトにアクセスするとアドレスバーにグレー文字で「保護されていない通信」(Mac OSの場合は「保護されていません」)と表示され、テキストボックスなどに文字を入力すると赤文字に切り替わります。
また、Chrome 69ではこれまで緑色で表示されていた「保護された通信」(Mac OSの場合は「保護されています」)の表示がなくなり、グレー色の鍵マークのみになりました。「えっ?SSLサイトを優遇するって話はどうなったの?」と考える方もいるかと思いますが、今後は「SSL化は当たり前。非SSLは危険」という方針で各種表示が変化していくものと考えたほうがよいでしょう。
つまり、最終的には「SSL通信であることは普通なので鍵マークすら出さない」、「非SSLサイトは危険だからアクセスさせない」という思想に着地させるべく、警告表示を強化していくのではないかと見られています。次のバージョンアップでは非SSLサイトは最初から赤文字で「保護されていない通信」が表示されるようになる、という可能性も十分あると言っていいでしょう。
ブラウザ表示の変化ではもう1点、EV SSL証明書のグリーン文字表示の廃止が行われました。これまでのChromeではEV SSL証明書を利用している場合、アドレスバーに企業名を緑色で表示してきましたが、「保護された通信」の廃止に伴って緑文字の表示を廃止し、グレー文字での企業名表示へ変更されました。また、iOS 12よりiPhoneやiPadのSafariブラウザでは、企業名表示の廃止、Mac OS MojaveのSafariと同様に企業名表示の廃止が行われました。
これまでEV SSL証明書はアドレスバーに企業名が表示されること、アドレスバーが緑色になることが大きなメリットとなっていましたが、このメリットが継続されるのか?という部分が今後の焦点となりそうです。さくらのSSLでは、各ブラウザ、OSでのEV SSL証明書の企業名表示がどのように行われているかをまとめておりますので、EV SSL証明書を検討している方はぜひご覧ください。
ウェブサイトSSL化の進捗
これまで「ウェブサイトのSSL化が遅い」と言われ続けてきた日本(一番下の薄緑色)ですが、ここに来てようやく他国と比べてあまり差のない割合にまで到達しました。ウェブサイトの運営者や無料SSL機能を提供してきた事業者、啓蒙活動を行ってきた認証局の活動などが実を結んだ結果と思われます。しかしながら、まだ進捗率が他国に比べて低いのは事実なので、これからも引き続きSSL化に関する啓蒙活動、利便性強化を行っていくことで日本のウェブサイトを早期により高い普及率へ引き上げて行く必要があると考えられます。
2018年のSSL業界まとめ
2018年は3年証明書の廃止、旧シマンテック系の証明書無効化、Chromeの非SSLサイト警告表示強化など、SSL業界においては大きな変化があった年でした。今後、SSL証明書の有効期限のさらなる短縮化(2年証明書の廃止)や、Let’s Encryptのような自動更新の仕組みを提供する認証局が増える可能性、ブラウザ警告表示のさらなる強化、TLS1.3の普及など、さらなる変化が予想されています。引き続き、最新情報をチェックしつつよりセキュアで安心して利用できるインターネットを目指しましょう。
本コラムをもって、2018年の更新は最後となります。2018年はSSL激動の年となりましたが、また来年も引き続き、さくらのSSLをどうぞよろしくお願いいたします。