Let's be more curious.

信頼できないSymantecのSSL証明書問題とは

はじめに

HTTPS化の記事を2つ書いたのですが、SSLサーバー証明書で気になる報道を目にしました。全く無関係とも言えないので、どのような問題が発生したのか記事にまとめて見ました。

(注)この記事は2017年11月20日にはてなブログで公開したもので、記事で解説した問題は現在解消されております。

SSLサーバ証明書について

はてなブログはまだSSL化に踏み出せてませんが、先行するRakutenBLOGやFC2ブログは、実は「めでたし、めでたし」という状況ではありません。

 

なぜなら、これらのブログのSSLサーバ証明書はSymantecグループが発行したものだからです。


えっ!一体何のこと?と疑問に思われる方がいらしゃるかも知れませんが、これはGooglが2017年9月11日に発表した「Chrome’s Plan to Distrust Symantec Certificates 」の発表を読むと理解できます。

 

発表内容をザックリ言うと、ある期間にSymantecグループが発行したSSLサーバ証明書は信頼できないので、対象の証明書は指定期間までに再発行しなければならない、というものです。

もし再発行しなかった場合は、2019年10月からChrome70以降でWebサイトは閲覧不可になります。


詳細は下記過去記事でも少し解説しているので、まだ見てない方は御覧ください。


Symantecグループとは

Symantecグループは「Symantec 」以外に「Geotrust 」と「RapidSSL 」です。

これ以外はGoogleから文句を言われてないので、現時点でセーフです。


再発行が必要なSSLサーバ証明書

Symantecグループはどのような証明書をいつ迄に再発行しなければならないのかですが、少し複雑なので表にまとめてみました。

発行日と有効期間によって「対象1」と「対象2」の2種類に分かれます。

発行日と有効期間


次に無料ブログの運営者が取得しているSSLサーバ証明書をまとめて見ました。

SSLサーバ証明書


Yahoo!とamebaはCybertrustのSSLサーバ証明書なので特に問題はありません。

しかし、RakutenBLOGはSymantec、FC2ブログはGeoTrusが認証局なので、2017年12月1日以降に再発行が必要なことが分かります。

なぜ12月1日以降に再発行が必要な理由は、Googleが12月1日以降にSymantecが発行したSSLサーバ証明書は信頼しない、と言っているからです。

 

その為、SymantecはSSLサーバ証明書の事業をDigiCertに12月1日迄に譲渡することにしました。

Symantecは不祥事を起こしたにも関わらず、そのツケを第三者に押し付け、譲渡に伴い利益も確保するという、一石二鳥の上手い対応を取りました。(驚)

こんな対応を知ったら、この会社のサービスは二度と使いたくないと思われるかも知れませんね。

 

管理人はシマンテック社のサービスを提供しているYahoo! BBセキュリティを早く解約して本当に良かった、と心から思いました。(笑)

 

まとめ

独自ドメインでSSL化されたサイト管理者の皆様は、今一度SSLサーバ証明書の認証局と発行日・有効期限を確認した方が良いと思います。

また、無料ブログ利用のユーザはSSL化目的でWordPress等に移転しても、すべて問題が解決する訳ではないので、慎重な対応が必要です。

 

余談

はてなブログが取得しているSSLサーバ証明書を見ると、運が悪いことにSymantecグループの証明書でした。

「はてな匿名ダイアリー」のSSLサーバ証明書は発行日が2016年1月21日なので2017年12月1日以降に再発行が必要です。

もし再発行しなかったら2018年3月15日以降警告表示が出ることになります。

 

なお、ブログのHTMLに記述されているサーバ:https://cdn.blog.st-hatena.com/のSSLサーバ証明書は発行日はつい最近の2017年11月16日となってました。

SSLサーバ証明書

はてなは、なぜ再発行が必要な証明書をわざわざ取得(更新?)したのでしょうか。

 

はてなユーザがSSL化は「まだか」「まだか」「まだか」と煽ったので、しかたなくこうなったのでしょうか。

 

そうだとしたら、一ユーザとして謝ります。

はてなさん、大変申し訳ありませんでした。<m(__)m>


追記

2021年現在、はてなは、ブログ系はLet's EncryptのSSL証明書を利用し、ブログ以外はAmazonのSSL証明書を利用してます。

どちらも無料なら、AmazonのSSL証明書に一元化すれば良いのに、と思いました。

 

気軽に足跡残してね!

この記事が「気になった・参考になった」と感じた方は、リアクションボタンか、ツイッターで♡いいねを押して、足跡を残して頂けると嬉しいです。

https://t.co/7v28lFfgU7

2017年に発生したSymantecのSSL証明書問題の記事をBloggerに移転リライトしました。#HTTPS #SSL #Symantec

— heavy-peat (@AfterWork_Lab) August 1, 2021

それでは今回の記事はこれでおしまい。

Next Post Previous Post
Comment
Please Enter Comments in Light mode
comment url