Symantec の PKI の無効化について: 要対応確認

この記事は Chrome セキュリティ チーム、Devon O'Brien、Ryan Sleevi、Emily Stark による Google Security Blog の記事 "Distrust of the Symantec PKI: Immediate action needed by site operators" を元に翻訳・加筆したものです。また、Google Developers Japan ブログに投稿された記事のクロスポストです。詳しくは元記事をご覧ください。

以前にお知らせしたように、Chrome での Symantec の認証局(Symantec が所有する Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのブランドも含む)への信頼が無効化される予定です。本投稿では、サイト運営者が今回の無効化によって影響を受けるかどうかを判断する方法と、影響を受ける場合、いつまでに何をする必要があるのかについて説明します。対象となる証明書の置き換えを行わないと、Chrome などの主要なブラウザの今後のバージョンで、サイトを正しく閲覧できなくなります。

Chrome 66

2016 年 6 月 1 日より前に発行された Symantec の SSL/TLS 証明書を使っているサイトは、Chrome 66 で動作を停止します。これにより、すでにユーザーに影響が出ている可能性があります。

サイトで対象となる証明書を使っているかどうかわからない場合は、Chrome Canary 版で変更をプレビューして、サイトが影響を受けるかどうかを確認できます。サイトに接続した際に、下のような証明書エラーや DevTools での警告が表示される場合、証明書を置き換える必要があります。新しい証明書は、どの信頼されている CA からでも取得できます。最近 Symantec の CA ビジネスを買収した Digicert も利用できます。

2016 年 6 月 1 日より前に発行された Legacy Symantec SSL/TLS 証明書を使っている場合に Chrome 66 ユーザーに表示される可能性がある証明書エラーの例。 


Chrome 66 のリリース前に、証明書を置き換える必要がある場合に表示される DevTools のメッセージ。

Chrome 66 は、Canary チャンネルと Dev チャンネルですでにリリースされています。そのため、これらの Chrome チャンネルを使っているユーザーは、すでに影響を受けている可能性があります。影響を受けるサイトが 2018 年 3 月 15 日までに証明書を置き換えなかった場合、Chrome ベータ版のユーザーにもエラーが発生し始めます。Chrome Canary 版から現在のサイトを開いてエラーが発生する場合、できる限り早く証明書を置き換えることを強くおすすめします。

Chrome 70

Chrome 70 以降、他のすべての Symantec SSL/TLS 証明書が動作しなくなり、前述のような証明書エラーが発生します。お使いの証明書が影響を受けるかどうかを確認するには、現在の Chrome を使ってサイトにアクセスし、DevTools を開きます。証明書を置き換える必要がある場合、そのことを通知するメッセージがコンソールに表示されます。

Chrome 70 のリリース前に、証明書を置き換える必要がある場合に表示される DevTools のメッセージ。

DevTools にこのメッセージが表示される場合は、できる限り早く証明書を置き換えてください。証明書を置き換えないと、早ければ 2018 年 7 月 20 日より、サイトで証明書エラーが発生し始めます。最初の Chrome 70 のベータ版リリースは、2018 年 9 月 13 日頃を予定しています。

Chrome のリリース予定スケジュール

下の表は、Chrome 66 および 70 の最初の Canary 版、ベータ版、安定版リリースの日程を示しています。リリースによって受ける影響は、最初の Canary 版リリースのタイミングから発生しはじめます。それ以降、ベータ版、そして最終的に安定版がリリースされるにつれて、対象端末が徐々に広がります。サイト運営者の方には、Chrome 66 および 70 の最初の Canary リリースが行われる前、遅くともベータ版のリリース日までに必要な変更を行うことを強くおすすめします。

リリース
最初の Canary 版
最初のベータ版
安定版リリース
Chrome 66
2018 年 1 月 20 日
~ 2018 年 3 月 15 日
~ 2018 年 4 月 17 日
Chrome 70
~ 2018 年 7 月 20 日
~ 2018 年 9 月 13 日
~ 2018 年 10 月 16 日

特定のバージョンの Chrome のリリース スケジュールに関する情報は、Chromium 開発カレンダーにも掲載されています。リリースのスケジュールが変更になった場合は、このカレンダーが更新されます。

特定の企業ユーザーのニーズに対応するため、Chrome 66 以降では、Legacy Symantec PKI の無効化を停止する Enterprise Policy も実装されます。2019 年 1 月 1 日には、このポリシーは利用できなくなり、すべてのユーザーに対して Legacy Symantec PKI が無効化されます。

特記事項: Chrome 65

以前のお知らせにありましたように、2017 年 12 月 1 日以降に Legacy Symantec PKI から発行された SSL/TLS 証明書は信頼されなくなります。対象となる証明書は、DigiCert と特別な契約を結んでいなければ取得できないので、これによって影響を受けるサイト運営者はほとんどありません。Chrome 65 時点で、対象となる証明書を使っているサイトにアクセスすると、エラーが発生してリクエストはブロックされます。このエラーを回避するには、対象となる証明書が Chrome などのブラウザではなく、以前の端末のみに対してサービスを提供するようにします。


Reviewed by Eiji Kitamura and Yoshifumi Yamaguchi - Developer Relations Team