Chromeで旧SymantecのSSL無効化開始(2018年4月)

2018年4月21日

SSL関連のグーグルールが炸裂。

私は1日100ページ前後の知らないサイトや行きつけサイトのページを見ており、ここ2日ほど開けないページが数枚。何が起こったのかニュースを見ていると、SSLの証明書でGoogleの俺ルールが開始された模様。

どういうことか流れで参りましょう。

Chromeで旧SymantecのSSL無効化開始(2018年4月)

こちらの解説が解りやすい、2018年1月30日の記事。

世界30%のSSL証明書が3月と10月に強制無効化!? | Web担当者Forum
https://webtan.impress.co.jp/e/2018/01/30/28155

引用。ベータ版は開発者向けなので私らは通常版が該当。

  • 2018年3月15日ごろ: Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる
  • 2018年4月17日ごろChrome 66の通常版で、上記発行元2016年6月1日より前に発行した証明書を信頼しないようになる
  • 2018年9月13日ごろ: Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる
  • 2018年10月23日ごろ: Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼しないようになる

太字部分が私のChromeブラウザに着弾したわけですな。

バージョン見ると確かに66、正確には バージョン: 66.0.3359.117(Official Build) (64 ビット) となっておりました。

赤字にした上記発行元とは、段階的に買収されて行った過去に証明書を発行していた企業やブランドで、現在それらはDigiCertという組織が丸飲み。

  • 2000年:ThawteをVerisignが買収
  • 2010年:Verisign、GeoTrust、RapidSSLをSymantecが買収
  • 2017年:SymantecをDigiCertが買収

※SymantecはSymantec Website Securityサービスのみ買収であり、セキュリティソフトなど他の製品は無関係。

どうしてこうなったか。

グーグルが2017年6月に「シマンテック・ウェブサイトセキュリティのSSLサーバー証明書発行手続きに問題があり、(中略)

グーグルとシマンテックの間でコミュニケーションが進められたのですが、結果として適切に問題が解決されなかったため、グーグルは証明書を信頼しないようにする判断をした

Symantecが対応しきれないとしてDigiCartが引き受けた形なのだろうか、2017年6月は今から約10ヶ月くらい前の話で、2017年6月1日よりも前の旧Symantecの証明書が無効にされたという。

次回は今年10月23日頃、Chromeのバージョン70で旧Symantecの証明書は全て無効になるという強硬手段へ。

なお、これはChromeのみでは無くFirefoxやマイクロソフトもそうする予定と言っているけれどいつそうなるかは不明。

わかりやすい図があった。最初からこれを貼れと。

wi-1960fig01

source:Chromeで信頼されなくなるSymantec発行のSSL証明書 - @IT

チェックする方法はSymantecのサイトにツールがございます。

Google Chromeにより警告がでるウェブサイトかチェックする
https://www.websecurity.symantec.com/ja/jp/support/ssl-checker

chrome-ssl-checker

 

SSLは大きく分けて3+1種類ある

上になるほどハードルも年額も高い。

  1. EV SSL・・・企業の所在地まで確認済(約5万~18万円)
  2. 企業認証型・・・企業の実在を確認済(約4万~15万円)
  3. ドメイン名認証型・・・ドメイン登録者確認済(約0.1万~4万円)
  4. Let's Encrypt・・・無料 ※3ヶ月ごとの更新が必要

企業なら全てOK、個人は3か4のみ。

1番は企業の所在地まで確認されているため、ネットバンキングのログイン画面などでURL左の枠をクリックして行けば、企業名以外に所在地まで表示されるというもの。

2は実在だけ、3は個人でもドメインの所有を確認されているだけで、今回ヤバいのは1~3番への範囲攻撃。

4番のLet's Encryptは、主に個人向けというか、SSL対応タダならやっても良いレベルのウェブサイトであり、大手レンタルサーバーは4番を無償提供しつつ本来は手動更新のところ自動化してくれております。

期限切れの企業は存在するのか?

Googleが今回ダメ出ししている証明書は、旧Symantecが持っていたやつであり、2016年5月以前ならば今月で1年11ヶ月弱。来月末には全て2年が経過するので、最大2年契約ならば切れるわけが無い。

切れて放置するような企業はすでに存在が怪しい、更新するにはDigiCartでの手続きになるので普通に更新されるわけですな。

ところが2年までになったのは、2018年2月に決められたものらしく、確かに以前は3年前払いプランを見たことがございます。なので最大3年、2016年5月スタートならば2019年5月頃まで、今から1年ほどはChromeからは無効とされる。

無効になるとこういう画面になる。

chrome-66

URLが https:// のように打ち消し線が入るのみならず、どうやってもアクセスできなくなってしまう。まれにリダイレクト(http -> https へ自動で飛ばす)をミスって「s」を消せば行けることもあるがプロのウェブ屋が設定したならまずない。

2018年10月以降、旧証明書は全部無効となり、これやらかす企業が増える可能性は国内のみならず世界中で起こり得る。

2016年5月に2年契約したならば2018年5月頃更新ではなく今すぐ手続きが必要。同時期に3年契約しても2年5ヶ月目で見えなくなってしまう。

SSLの暗号化と証明書は別の問題

今回の証明書の話は、以前からGoogleが騒いでいる http を https にしろとは別のこと。

  • 暗号化・・・httpsにするだけでOK
  • 証明書・・・カネを払い発行すれば https になる

暗号化のみ、例として上で書いたLet's EncryptでSSL化しただけなら証明書は発行していないので今回の件は影響しない。

ところが金を支払いSSL化している旧証明書をまだ使っているサイトは制限を受けてしまうという理不尽さ。

 

アホに合わせて制限かけすぎ警告しすぎでは?

個人的に当サイトも一応ドメインを登録したウェブサイトの1つであり、SSLやるか証明までするかの権限は私が持っております。

しかしやりたくない、その理由は面倒なだけだから。

  1. モバイル対応・・・パソコン用レイアウトで見えるならいい
  2. SSLの暗号化・・・決済とかしないので暗号化する必要はない
  3. SSLの証明書・・・匿名が特徴なのでやる気は全くございません

1と2はGoogleが警告出すぞと脅しているやつ、3は当サイトは関係ないながら今回の制限事件が該当するやつ。

1はパソコンからの検索まで落とされたので仕方なく現在は対応しており、これ以上URL横でうるさく警告されるなら、いずれはLet's Encryptあたりでhttps化しなければならなくなるでしょう。

なぜここ数年Googleがうるさいか、グーグルールしたい理由はセキュリティ。そのセキュリティは誰のためかは、ひとえにアホな情弱の皆様がネットでたわむれ騙されてしまうからでしょう。

昔ながらネットで遊んでいた人間は制限のない通信が楽しめるからこそネットだと思っているわけで、釣りサイトは自力で見分けるので元から行かないわけで。

制限したいならセキュリティソフトでやれば良く、警告出して欲しいならそれもセキュリティソフトでやれば良いわけで。しかし、ESETがうるさすぎて契約切れる前に消そうか迷い中。

eset-fb-prof

この機能切れば良いだけではあるものの、なぜそこまでしてやらねばならないのか。どうしてトロイやウィルスやマルウェアだけ見てくれないのか。

ブラウザもOSも同様、本当にやばい何かを止めてくれたり警告してくれるのは助かる。しかしやりすぎると中国の制限のようになってしまわないか。

今回の証明書問題はサイト運営者以外、私ら見る側にも影響しそうなのでネタにしておいた。次回10月はもうやらない、くだらない。

どのくらいGoogleがやりすぎかJNBでケーススタディ

証明書ではなく https 化の方、ジャパンネット銀行のURLの2例。

jnb-http-evssl

上は通常の公式サイト、下はログインページ。

login.japannetbank.co.jp はEV SSLに対応しており、サブドメインでSSL対応しているならルートの www.japannetbank.co.jp も対応できるはず、がしていない。「!」が出ているにも関わらず。

なぜかは、やる必要性がなく面倒だからでしょう。巨大なサイトになればなるほどページ数に比例して問題が起こりやすい。

いずれ対応するとは思うものの、ネット銀行でさえこのレベルなのだから、個人で遊んでいるブログはほっといてほしい。素人が3,500ページ全対応とか考えただけで気が遠くなる。

コメント(2)

>正確には バージョン: 66.0.3359.117
私が使用中のChromeも同じバージョン。

>Google Chromeにより警告がでるウェブサイト
現行だと警告が出てもアクセス自体はできますね。Chromeはそのへんが自由。Firefoxは確か、SSLの認証が切れていると「安全な接続ができません」と警告が表示され、アクセスが遮断されたはず。それでもアクセスします、という選択肢が無し。

>どうやってもアクセスできなくなってしまう
最近はほぼ認証切れサイトを訪れる機会が無いためはっきりと分かりませんが、ヒツジ先輩が貼られた画像からもう少し下へスクロールすると「○○へアクセスする(安全ではありません)」というテキストリンクが表示されたはず(詳細情報を表示した状態)。Chromeの場合はそれでアクセスできました。Firefoxで無理だからChromeで、とブラウザを切り替えてアクセスしていましたから、ChromeでSSL認証切れのサイトへアクセスできたことは確実。

>アホな情弱の皆様がネットでたわむれ騙されてしまうから
自動車だってそこまでしなくても、と思うくらい多機能化していますから、世界的に「自分で学ぼうとしない永遠の初心者様」がものづくりの基準になっているのやも。

とはいえ被害は順調に減っているようですから、無意味という訳でも無いですけれど。私は鎧を着込んで全身をガードするより、危険を察知して回避する術を学んだ方が、身軽に動けて欲しいものを手に入れ易いと思うのですがね。

国民生活センター | アダルト情報サイト(各種相談の件数や傾向)
http://www.kokusen.go.jp/soudan_topics/data/adultsite.html

>素人が3,500ページ全対応とか考えただけで気が遠くなる。
よし次は「あなたのサイトのSSL問題を解決します」詐欺が流行るな。

>ネット銀行でさえこのレベルなのだから、個人で遊んでいるブログはほっといてほしい

メガバンク+ネット専業銀行のSSL対応状況(2017年11月版) | T.Ozakiの日記 | スラド
https://srad.jp/~T.Ozaki/journal/616601/

銀行の常時SSL対応状況(2018年2月) | マイブログ
https://ameblo.jp/9xhjgb9d/entry-12356093414.html

銀行はサイト全体のSSL化が推奨されていますねw

このサイトがSSL対応するとしたらログインページだけでいいと思いますw

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★★ 保証: ★★

コスパ: ★★★★★ 安定: ★★★

初心者: ★★★★

性能とパーツの相場がある程度わかる人なら標準構成が多いのでコスパ重視で選びやすい。同じに見える同じ価格でも仕様の違いがどうなのか判る人には最適。

DELL

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★☆☆☆ 安定: ☆☆

初心者: ☆☆☆☆

10年以上前まではDELL=初心者向けの安いパソコン、それはもう通用しておりません。クーポン適用後が適正価格だと見抜けるパソコン詳しい人向け、または大人買いで割安になる法人向け。

日本HP

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★☆☆

コスパと性能以外にも見た目も重視したいならHPのノートも選択肢としてアリ。自社製造状態なのでBTO=ダサい印象は払拭されるかと。デスクトップは法人用、ゲーミングは海外向き。

ツクモ

高性能: ★★★★★ 保証: ☆☆

コスパ: ★★★★ 安定: ☆☆

初心者: ☆☆☆☆

昔のマニアックな感は無くなり家電通販のような普通のパソコン屋に。機種が少なく特徴的な少数精鋭状態なので選べる人を選ぶ。ヤマダ電機の一部、または自作PCのパーツ屋さん。

フロンティア

高性能: ★★★☆☆ 保証: ☆☆☆

コスパ: ★★★★ 安定: ☆☆☆

初心者: ★★★☆☆

フロンティア神代の解散後、現所長のパワハラがひどいとタレコミが複数あり、私から内情を運営会社へ伝えると逆ギレされて私を訴えるぞと謎すぎる返しがあり困惑中。

サイコム

高性能: ★★★★★ 保証: ★★★

コスパ: ★★★☆☆ 安定: ★★★

初心者: ☆☆☆☆☆

PC自作したくない中~上級者向け、昔ながらの2chおっさん御用達な鉄板メーカー。動かない構成でも購入できるので初心者にはおすすめ不能。量産系BTOのようにコスパ悪くならないのでサイコムだけは自由なカスタマイズを激しくおすすめ。


※ドスパラはパーツの偽装疑いを誤魔化したり取引先を勝手に切る信頼性暴落した事件があり掲載中止(2020.11.26)

※マウスコンピューターは高いぞと書きまくったからか遠回しにリンク削除しろと言って来たので削除(2021.03.28)

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。