今後Safariで起きること
Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。
このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。
具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。
購入済み・利用中のSSL証明書に影響があるのか?
現時点(2020年3月)で既に購入・利用している「有効期間が2年のSSL証明書」には影響がありません。Appleの発表では、2020年9月1日より前(8月31日以前)に発行されたSSL証明書は、エラー/警告の対象外になると発表しています。
慌てて買い換える必要はありませんが、次回更新時は必要に応じて有効期間が1年のSSL証明書を買う必要があるので注意しましょう。
Safariだけが有効期間を短縮する背景
SSL証明書に関する取り決めは、CA/Browser Forum(CAブラウザフォーラム)という業界団体で行われており、SSL証明書を発行するCertificate Authority(認証局)と、ChromeやSafariなどのWebブラウザを開発するブラウザベンダーが団体に参加しています。日本からもルート認証局であるセコムトラストシステムズやGMOグローバルサインが参加しています。
そのフォーラムにて、SSL証明書・Webブラウザの仕様変更や新仕様が発議され、各社の投票によってガイドラインなどが決定されます。2018年3月より、有効期間3年のSSL証明書が発行できなくなりましたが、これもフォーラムにて発議・採決されて決められたものです。
2019年8月に「SSL証明書の有効期間を1年に短縮する」とGoogleが発議しましたが、CA側(SSL証明書を販売する側)の反対が多く否決されました。
否決されたにも関わらず、Appleは「ユーザーのWebセキュリティ改善」を理由に、Safari独自のブラウザ仕様として有効期間の短縮を発表しました。これまでも、ブラウザ側が独自仕様としてSSL証明書の無効化を行った事例はあるため、珍しいことではありません。「セキュリティ強化のためにブラウザ仕様を変更する」という、ごく普通の改修の一環としても受け取れます。
その他ブラウザの対応は?
現在、有効期間の短縮を正式発表しているのはAppleのみですが、Google(Chrome)やMozilla(Firefox)が追随してくる可能性もゼロではありません。既にMozillaではこの問題に関する議論が始まっています。
そもそもCA/Browser Forumの投票では、ブラウザ側は「1年への短縮」に全員賛成しているため、他のブラウザでも短縮対応が実施される可能性はゼロではないと思われます。
【2020年8月更新】Google Chrome、Mozilla Firefoxの対応について
Google Chrome、Mozilla FirefoxでもSafariと同様にSSL証明書の有効期間を397日以下にすることが決定されました。主要ブラウザで2年のSSL証明書が利用できなくなることを受けて、さくらのSSLでもお知らせの通り、有効期間2年のSSL証明書の販売を7月末を持って終了いたしました。
なぜ有効期間は短い方がセキュリティ的に良いのか?
一般的にSSL証明書の有効期間は短ければ短いほどセキュアとされています。これには様々な理由がありますが、一番わかりやすいのは「認証」の有効期間という考え方です。
例えば、企業認証のEV証明書を取得するには電話確認(電話認証)が必要で、その確認を行うことで「企業が実在すること」を証明しています。しかし、もし取得後に会社が破産し消滅してしまったらどうでしょうか?その場合、実在しない企業を認証したSSL証明書がそのまま使われることになります。つまり、SSL証明書の有効期間が短ければ短いほど、「認証」された情報が新鮮で信頼性が高いということです。これはドメイン認証のSSL証明書でも同様です。
その他にも、認証局でセキュリティ侵害が起きた場合などの影響範囲を狭めるために、有効期間は短い方が良いという考え方もあります。様々な角度から見ても、セキュリティのことだけを考えると有効期間は短ければ短い方が良い、というのは間違いありません。
一方、サーバーを管理する側やWebサイトを運営する側からすると、SSL証明書の更新は面倒な作業です。SSL証明書の有効期間が長ければ長いほど、更新の手間が減り利便性が高くなります。CA側は利便性の高い商品を売り続けたいので、有効期間の短縮には反対しているというわけなのです。
「利便性」を取るか「安全性」を取るかは、セキュリティの根幹に関わる難しい問題ですが、多くの人が納得する範囲で便利で安全なところに落とし込むために、CA/Browser Forumの会議があるとも言えます。有効期間3年から2年への短縮は可決され、2年から1年への短縮が否決されたということは、ここが多くの人が考える「利便性」と「安全性」のバランスが取れているポイントであったと考えられます。
どちら(1年・2年)を今後は買うべきか?
私たちSSL証明書の利用者は、今回のAppleの対応にどう対処したら良いのでしょうか?結論から言ってしまうと、Webサイト用のSSL証明書を購入する場合、2020年9月1日以降は「2年証明書を買ってはいけない」と言えるでしょう。何故なら「Safariでエラーが出る」ということは、日本で6割近いスマートフォンのシェアを占めるiPhoneでエラーが出る(サイトが閲覧できなくなる)ということです。影響としては非常に大きいため、とても無視できるものではありません。
「だったら2年のSSL証明書を売らなきゃ良いのに!」と思う方も多いと思いますが、CA/Browser Forumでは「1年への短縮」が否決されているため、2年証明書を販売することは禁止されていません。また、一部の利用者はブラウザを利用せず、サーバー間通信などでSSL証明書を利用することもあり、引き続き2年の有効期間を持つSSL証明書が発行される見込みです。
- ※ただし、この先変化する可能性があります。
こちらの記事もあわせておすすめ!
SSL証明書に関するブラウザ仕様は全て統一されているわけではありません。ブラウザごとの仕様に興味がある方は当コラムの『Chrome 77よりEV SSL証明書のアドレスバー組織名表示が消滅!新たな表示先とは?』も併せてご覧ください。
また、CA/Browser Forumについて興味を持った方は、提案されている内容をチェックしてみると良いかもしれません。現在議論されている内容や、過去の投票結果などが公開されています。