Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる

Google Chromeの次のバージョン(v70)では、多くの安全なサイトがエラーメッセージを表示して停止する。それはこのブラウザーが、一連のセキュリティ事故のあと、メジャーなHTTPS証明プロバイダー一社の、信用を外したからだ。

Chrome 70は10月16日にリリースの予定だが、2016年6月よりも前に発行された、古いSymantecの証明を使ってるサイトはブロックされるようになる。それらは、Thawte, VeriSign, Equifax, GeoTrust, RapidSSLといったレガシーなブランドの証明だ。

対策を講じる時間は1年以上もあったのに、人気サイトの多くが対応を怠っている。

セキュリティ研究家のScott Helmeによると、Alexaがランク付けした上位100万のサイトのうち、1139ものサイトが、古い証明を使っている。それらは、Citrus, SSRN, Federal Bank of India(インド国立銀行), Pantone, Tel-Aviv city government(テルアビブ市庁), Squatty Potty, Penn State Federalなどなどだ。

FerrariOne IdentitySolidworksも彼のリストに載っていたが、最近新しい証明に切り替えたので今後のダウンはない。

Chromeでコンソールを表示すると、どんなWebサイトでもチェックできる(画像提供: TechCrunch)

HTTPS証明は、コンピューターとWebサイトやアプリとの間のデータを暗号化し、公開Wi-Fiホットスポットなども含めて、誰もデータを傍受できないようにする。それだけでなく、HTTPS証明はサイトの真正性の証明にもなり、ページが誰かによって書き換えられていないことを保証する。

多くのWebサイトが証明機関から証明を入手する。それらの証明機関は、一定のルールと手続きを守ることにより、長期間、Webブラウザーから信用される。

事故が起きたりしてブラウザーの信用を失うと、その機関からの証明のすべてをブラウザーは拒否する。

Googleが昨年、Symanecの証明を認めないと宣言したのも、そのためだ。Googleなど数社が、不正な証明を発行しているとしてSymantecを非難した。さらにその後Symantecが、必要な厳しい監督もせずに、信用のない機関に証明の発行をさせていたことが分かった。そのため数千のサイトが、彼らが金を払っていた証明を破り捨て、新しい証明に切り替えて、Chrome 70の期限が過ぎたときにエラーメッセージが出ないようにした。

しかし、ブラウザーは認証機関を信用しなくなるだけでなく、新しい機関を信用することもある。

たとえば無料のHTTPS証明を提供しているLet’s Encryptは今年初めから、Apple, Google, Microsoft, Mozillaなど、メジャーなブラウザーメーカーのすべてから信用されている。この非営利機関はこれまで、3億8000万あまりの証明を発行した

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。