after work Labo

「好きなこと・興味がわいたこと」を時々「お勉強させて頂いてます!」

https化の足を引っ張るSymantecグループのSSLサーバ証明書とは?

はじめに

 

ブログを書いていたら日をまたいでしまいました。

 

スマホを見たら期間限定Tポイントが11/19期限切れだったことにたった今気づき、少しブルーになっている"あトん"です。

 

今回のブログは上記動揺で長文ではありません。短文で数分で読める薄い内容ですが、ご存知の方、興味がない方は遠慮なくスルー下さい。

 

SSLサーバ証明書について

はてなブログはまだSSL化に踏み出せてませんが、先行するRakutenBLOGやFC2ブログは、実は「めでたし、めでたし」という状況ではありません。

 

なぜなら、これらのブログのSSLサーバ証明書はSymantecグループが発行したものだからです。

えっ!一体何のこと?と疑問に思われる方がいらしゃるかも知れませんが、これはGooglが2017年9月11日に発表した「Chrome’s Plan to Distrust Symantec Certificates 」の発表を読むと理解できます。

security.googleblog.com

 

発表内容をザックリ言うと、ある期間にSymantecグループが発行したSSLサーバ証明書は信頼できないので、対象の証明書は指定期間までに再発行しなければならない、というものです。

 

詳細は下記過去記事でも少し解説しているので、まだ見てない方は御覧ください。

www.heavy-peat.com


Symantecグループとは

Symantecグループは「Symantec 」以外に「Geotrust 」と「RapidSSL 」です。

これ以外はGoogleから文句を言われてないので、現時点でセーフです。

再発行が必要なSSLサーバ証明書

Symantecグループはどのような証明書をいつ迄に再発行しなければならないのかですが、少し複雑なので表にまとめてみました。

発行日と有効期間によって「対象1」と「対象2」の2種類に分かれます。

次に無料ブログの運営者が取得しているSSLサーバ証明書をまとめて見ました。

Yahoo!とamebaはCybertrustのSSLサーバ証明書なので特に問題はありません。

 

しかし、RakutenBLOGはSymantec、FC2ブログはGeoTrusが認証局なので、2017年12月1日以降に再発行が必要なことが分かります。

 

なぜ12月1日以降に再発行が必要なのかですが、Googleが12月1日以降にSymantecが発行したSSLサーバ証明書は信頼しない、と言っているからです。

 

その為、SymantecはDigiCertにSSLサーバ証明書の事業をDigiCertに12月1日迄に譲渡することにしました。

 

Symantecは不祥事を起こしたにも関わらず、そのツケを第三者に押し付け、譲渡に伴い利益も確保するという、一石二鳥の上手い対応を取りました。(驚)

 

こんな対応を知ったら、この会社のサービスは二度と使いたくないと思われるかも知れませんね。

 

”あトん”はシマンテック社のサービスを提供しているYahoo! BBセキュリティを早く解約して本当に良かった、と心から思いました。(笑)

 

まとめ

独自ドメインでSSL化されたサイト管理者の皆様は、今一度SSLサーバ証明書の認証局と発行日・有効期限を確認した方が良いと思います。

 

また、無料ブログ利用のユーザはSSL化目的でWordPress等に移転しても、すべて問題が解決する訳ではないので、慎重な対応が必要です。

 

余談

はてなブログが取得しているSSLサーバ証明書を見ると、運が悪いことにSymantecグループの証明書でした。

 

「はてな匿名ダイアリー」のSSLサーバ証明書は発行日が2016年1月21日なので2017年12月1日以降に再発行が必要です。

 

もし再発行しなかったら2018年3月15日以降警告表示が出ることになります。

 

なお、ブログのHTMLに記述されているサーバ:https://cdn.blog.st-hatena.com/のSSLサーバ証明書は発行日はつい最近の2017年11月16日となってました。

はてなは、なぜ再発行が必要な証明書をわざわざ取得(更新?)したのでしょうか。

 

はてなユーザがSSL化は「まだか」「まだか」「まだか」と煽ったので、しかたなくこうなったのでしょうか。

 

そうだとしたら、一ユーザとして謝ります。

はてなさん、大変申し訳ありませんでした。<m(__)m>