Chromeで旧SymantecのSSL無効化開始(2018年4月)

こちらの解説が解りやすい、2018年1月30日の記事。

世界30%のSSL証明書が3月と10月に強制無効化！？ | Web担当者Forum
https://webtan.impress.co.jp/e/2018/01/30/28155

引用。ベータ版は開発者向けなので私らは通常版が該当。

• 2018年3月15日ごろ： Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる
• 2018年4月17日ごろ： Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる
• 2018年9月13日ごろ： Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる
• 2018年10月23日ごろ： Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼しないようになる

太字部分が私のChromeブラウザに着弾したわけですな。

バージョン見ると確かに66、正確には バージョン: 66.0.3359.117（Official Build） （64 ビット） となっておりました。

赤字にした上記発行元とは、段階的に買収されて行った過去に証明書を発行していた企業やブランドで、現在それらはDigiCertという組織が丸飲み。

• 2000年：ThawteをVerisignが買収
• 2010年：Verisign、GeoTrust、RapidSSLをSymantecが買収
• 2017年：SymantecをDigiCertが買収

※SymantecはSymantec Website Securityサービスのみ買収であり、セキュリティソフトなど他の製品は無関係。

どうしてこうなったか。

グーグルが2017年6月に「シマンテック・ウェブサイトセキュリティのSSLサーバー証明書発行手続きに問題があり、（中略）

グーグルとシマンテックの間でコミュニケーションが進められたのですが、結果として適切に問題が解決されなかったため、グーグルは証明書を信頼しないようにする判断をした

Symantecが対応しきれないとしてDigiCartが引き受けた形なのだろうか、2017年6月は今から約10ヶ月くらい前の話で、2017年6月1日よりも前の旧Symantecの証明書が無効にされたという。

次回は今年10月23日頃、Chromeのバージョン70で旧Symantecの証明書は全て無効になるという強硬手段へ。

なお、これはChromeのみでは無くFirefoxやマイクロソフトもそうする予定と言っているけれどいつそうなるかは不明。

わかりやすい図があった。最初からこれを貼れと。

source：Chromeで信頼されなくなるSymantec発行のSSL証明書 - ＠IT

チェックする方法はSymantecのサイトにツールがございます。

Google Chromeにより警告がでるウェブサイトかチェックする
https://www.websecurity.symantec.com/ja/jp/support/ssl-checker

SSLは大きく分けて3+1種類ある

上になるほどハードルも年額も高い。

1. EV SSL・・・企業の所在地まで確認済（約5万～18万円）
2. 企業認証型・・・企業の実在を確認済（約4万～15万円）
3. ドメイン名認証型・・・ドメイン登録者確認済（約0.1万～4万円）
4. Let's Encrypt・・・無料 ※3ヶ月ごとの更新が必要

企業なら全てOK、個人は3か4のみ。

1番は企業の所在地まで確認されているため、ネットバンキングのログイン画面などでURL左の枠をクリックして行けば、企業名以外に所在地まで表示されるというもの。

2は実在だけ、3は個人でもドメインの所有を確認されているだけで、今回ヤバいのは1～3番への範囲攻撃。

4番のLet's Encryptは、主に個人向けというか、SSL対応タダならやっても良いレベルのウェブサイトであり、大手レンタルサーバーは4番を無償提供しつつ本来は手動更新のところ自動化してくれております。

期限切れの企業は存在するのか？

Googleが今回ダメ出ししている証明書は、旧Symantecが持っていたやつであり、2016年5月以前ならば今月で1年11ヶ月弱。来月末には全て2年が経過するので、最大2年契約ならば切れるわけが無い。

切れて放置するような企業はすでに存在が怪しい、更新するにはDigiCartでの手続きになるので普通に更新されるわけですな。

ところが2年までになったのは、2018年2月に決められたものらしく、確かに以前は3年前払いプランを見たことがございます。なので最大3年、2016年5月スタートならば2019年5月頃まで、今から1年ほどはChromeからは無効とされる。

無効になるとこういう画面になる。

URLが https:// のように打ち消し線が入るのみならず、どうやってもアクセスできなくなってしまう。まれにリダイレクト（http -> https へ自動で飛ばす）をミスって「s」を消せば行けることもあるがプロのウェブ屋が設定したならまずない。

2018年10月以降、旧証明書は全部無効となり、これやらかす企業が増える可能性は国内のみならず世界中で起こり得る。

2016年5月に2年契約したならば2018年5月頃更新ではなく今すぐ手続きが必要。同時期に3年契約しても2年5ヶ月目で見えなくなってしまう。

SSLの暗号化と証明書は別の問題

今回の証明書の話は、以前からGoogleが騒いでいる http を https にしろとは別のこと。

• 暗号化・・・httpsにするだけでOK
• 証明書・・・カネを払い発行すれば https になる

暗号化のみ、例として上で書いたLet's EncryptでSSL化しただけなら証明書は発行していないので今回の件は影響しない。

ところが金を支払いSSL化している旧証明書をまだ使っているサイトは制限を受けてしまうという理不尽さ。

アホに合わせて制限かけすぎ警告しすぎでは？

個人的に当サイトも一応ドメインを登録したウェブサイトの1つであり、SSLやるか証明までするかの権限は私が持っております。

しかしやりたくない、その理由は面倒なだけだから。

1. モバイル対応・・・パソコン用レイアウトで見えるならいい
2. SSLの暗号化・・・決済とかしないので暗号化する必要はない
3. SSLの証明書・・・匿名が特徴なのでやる気は全くございません

1と2はGoogleが警告出すぞと脅しているやつ、3は当サイトは関係ないながら今回の制限事件が該当するやつ。

1はパソコンからの検索まで落とされたので仕方なく現在は対応しており、これ以上URL横でうるさく警告されるなら、いずれはLet's Encryptあたりでhttps化しなければならなくなるでしょう。

なぜここ数年Googleがうるさいか、グーグルールしたい理由はセキュリティ。そのセキュリティは誰のためかは、ひとえにアホな情弱の皆様がネットでたわむれ騙されてしまうからでしょう。

昔ながらネットで遊んでいた人間は制限のない通信が楽しめるからこそネットだと思っているわけで、釣りサイトは自力で見分けるので元から行かないわけで。

制限したいならセキュリティソフトでやれば良く、警告出して欲しいならそれもセキュリティソフトでやれば良いわけで。しかし、ESETがうるさすぎて契約切れる前に消そうか迷い中。

この機能切れば良いだけではあるものの、なぜそこまでしてやらねばならないのか。どうしてトロイやウィルスやマルウェアだけ見てくれないのか。

ブラウザもOSも同様、本当にやばい何かを止めてくれたり警告してくれるのは助かる。しかしやりすぎると中国の制限のようになってしまわないか。

今回の証明書問題はサイト運営者以外、私ら見る側にも影響しそうなのでネタにしておいた。次回10月はもうやらない、くだらない。

どのくらいGoogleがやりすぎかJNBでケーススタディ

証明書ではなく https 化の方、ジャパンネット銀行のURLの2例。

上は通常の公式サイト、下はログインページ。

login.japannetbank.co.jp はEV SSLに対応しており、サブドメインでSSL対応しているならルートの www.japannetbank.co.jp も対応できるはず、がしていない。「！」が出ているにも関わらず。

なぜかは、やる必要性がなく面倒だからでしょう。巨大なサイトになればなるほどページ数に比例して問題が起こりやすい。

いずれ対応するとは思うものの、ネット銀行でさえこのレベルなのだから、個人で遊んでいるブログはほっといてほしい。素人が3,500ページ全対応とか考えただけで気が遠くなる。

関連記事

• Windows 10の名前、ずっとそのままでいいの？調査
• テンキーいらなくね？横一直線打ちの方が速い？など
• メモリ4GBはなぜダメなのか？8GBのPCと対決など
• お前らのパソコン何秒で立ち上がるか調査にご協力を
• デスクに後付できる格安キーボード用スライダーなど
• マウスは無線と有線どちら派？アンケートにご協力を