10月16日リリースのChrome70では、SSL証明書次第ではサイトへのアクセスができなくなる?!
最新版ブラウザChrome 70ではSSL証明書によってはアクセス不能に
2016年6月よりも前に発行された、古いSymantecの証明を使ってるサイトはブロックされるようになってしまいます。
一部のSymantec・Thawte・GeoTrust・RapidSSLにより発行されたSSL/TLS サーバ証明書が対象で、なんとブラウザに信頼されなくなります。
この状態のサイトにアクセスしようとすると、
- 「ウェブサイトが信頼されていない」
- 「このウェブサイトは安全ではない」
といった警告が表示されるようになってしまうのです。
皆さんはこの記事を読んだことがあるでしょうか。
Chrome's Plan to Distrust Symantec Certificates
GoogleChromeでSymantecのSSL証明書がDistrust(=信用しない)になったという公式ブログです。
こちらもご参照ください。
Symantec の PKI の無効化について: 要対応確認
なぜSymantecの証明書がブロックされるのか
そもそもなぜこのような事態になってしまったのかというと、Symantecの証明書発行の事業パートナーが不正なドメイン名をコモンネームに持つ証明を発行していたなどの不正が明らかになったからです。これによりSymantecはGoogleからの信頼を失い、今回のようなことにつながっています。
どうやって確認すれば?
「大丈夫!自分のところのWebサイトはSymantecじゃないから!」という方も多いでしょうが、Symantec系の証明書を使っているので、自分が使っている証明書は問題ないだろうか。と不安になっている方もいるのではないでしょうか。
そんな方向けにSymantecが、そういった証明書をチェックするサービスを出しておりました。
Google Chromeにより警告がでるウェブサイトかチェックする
これを使ってSymantec系の証明書を確認すれば対応が必要なものかどうかが一目瞭然です。
また、GoogleChromeのデベロッパーツールが使える方ですと、下のような感じで
The SSL certificate used to load resources from https://ssrn.com will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
というエラーが出ていることからもわかりますし、
先程紹介した、Symantecのチェックツールで確認しても、以下の様に表示がでるのでわかります。
無料のSSL証明書"Let's Encrypt"
一方で発行数が伸びているのが無料のSSL証明書Let's Encryptです。SSL証明書というとお金をかけて取得しなければいけないというイメージがあるかもしれませんが、Let's Encryptなら誰でも無料でSSLの証明書を取得できます。
2016年から出ているサービスで、CDNで世界的に有名なAkamai, Google, Facebook, Firefoxで有名なMozillaなどの大手のテクノロジー企業や団体がが支援してきました。
最新の情報では、1億2900万のユニークなドメインで3億8000万あまりの証明書が発行されたとのことですので、世界最大の発行数を今も増やし続けていることになります。無料で、多くのブラウザに信頼されているために人気がでるのもわかりますね。 通常はクライアントソフトウェア「Certbot」というものを使って導入していきます。また、例えばKUSANAGIのような既に各種ミドルウェアなどがチューンナップされた状態で配布されているような仮想マシンですとデフォルトで利用できるようになっているのでより簡単に使えるのではと思います。
Chromeのアップデートは速いスパンでどんどん行われていくでしょうから、Webに携わっている方は追っかけておくべきですね!
私、穂苅智哉の情報は、以下のFacebookページTwitterアカウントを御覧ください!
※友達申請をいただける方は、お手数ですがメッセージを添えておねがいいたします。