サイフにやさしいSSL証明書。シマンテック(旧ベリサイン)、Geotrust、RapidSSLが低価格、最安。
メニューSSL証明書 - メニュー
ご相談はお気軽に 048-837-7778
資料/情報

 2017年03月:Chromeブラウザの実装案(シマンテック系証明書に対する、EVステータス無効化や、有効期限の短縮案)



最終更新日:2017年09月16日

EVステータス無効化や、有効期限の短縮案


Google considers options on Symantec certificate authority 'failures' や、
Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案 などの記事にあるように、
Chromeブラウザ(Blink開発チーム)が、シマンテック系SSL証明書のEVステータス無効化や、有効期限を短縮する案を検討しています。

blink-dev「Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates」 で、
2017年03月24日に Ryan Sleevi氏が提案してから議論が続いている実装案となり、弊社としても本件を注意深く見守っております。

シマンテック発行のSSL証明書についての検証は、
Mozilla「Misissued/Suspicious Symantec Certificates」 で2017年01月から検証が行われていましたが、
その流れも受けての Ryan Sleevi氏の提案となります。

シマンテック社も本件を重く受け止めていまして、2017年03月27日、
弊社のような代理店宛にも状況説明のメールが配信されております(追記:その後、数回の続報メールも受けております)。

Chromeの実装案は、あくまで現時点では「案」となりますので、今後の状況を見守ってまいりますが、
もし仮にChromeブラウザの実装がこの案のように進んでも、シマンテック社としては救済措置を取る方針でいるとの連絡を受けております。

”In the event Google implements its proposal, Symantec will ensure your websites, webservers or web applications continue to work across browsers.”

今回のChrome実装案の背景にある "直近" の原因としては、
「CrossCert (Korea Electronic Certificate Authority)」「Certisign Certificatadora Digital」「Certsuperior S. de R. L. de C.V.」「Certisur S.A.」といった 提携先による不適切な発行がございます(不正発行枚数については、現状では、双方の主張に隔たりがあります)。

不適切な発行の詳細は、Mozilla「Misissued/Suspicious Symantec Certificates」 などからご確認いただけまして、
例えば https://crt.sh/?O=test のCTログからも、組織名「test」でのSSL証明書発行があったことがご確認いただけます()。
※悪意のある発行ではありませんが、パートナープログラムの運営体制・監査など、体制の問題も指摘されています。

シマンテック社による通常審査を経てSSL証明書を発行されていた弊社のお客様にとっては、
余計な心配が増えるような状況となってしまいまして誠に恐縮ですが、
情報が確定ししだい公開してまいりますので、何卒ご理解をいただけますようお願い致します。

ご不明な点などございましたら、個別にお問い合わせをいただけますようお願い致します。

Chrome 57で、シマンテックマネージドPKIで発行された証明書の、EV表示ができない件について


「Google Chrome 57」にSymantec社のEV SSL証明書を正常に扱えない不具合 などの記事にあるように、
Chrome 57で、シマンテックマネージドPKIで発行された証明書の、EV表示ができない件が報告されています。

上記の件と時期が重なるため、この「実装案」が即時適用されたかと思わせるような情報も一部で見受けられますが、
本件は、https://bugs.chromium.org/p/chromium/issues/detail?id=705285 でもレポートされていまして、
基本的にはバグの扱いとなっております。

Mozilla(Firefox)mozilla.dev.security.policy での議論ついて


シマンテック社のSSL証明書発行業務運営体制については、
Mozilla(Firefox)mozilla.dev.security.policy の複数スレッドでディスカッションが継続中です。

2017年04月26日には、シマンテックから、
「発行済み証明書に対する再審査・第三者による監査・より短い有効期限の証明書も発行する」などの 提案 が提出され、
その提案に対しても議論・検証が行われています。

この2017年04月26日のシマンテック社からの提案に対しては、各グループ内で、ある程度ポジティブな反応が見受けられます 参考記事

本件は引き続き検討中で、Chrome・Firefoxどちらのブラウザにおいても確定事項はございませんが、
これらディスカッションを眺めるかぎり、Chrome開発チームによる当初の提案がそのまま実装される見込みは薄くなっているような状況です。

Ryan Sleevi氏による2017年05月19日の投稿ついて


Googleの Chromeブラウザ開発チーム Ryan Sleevi氏から、
https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/ovLalSBRBQAJ
の再提案(Overview / Background ではじまるもの)が2017年05月19日に投稿されまして、
「Chrome will continue to trust certificates issued after 2016-06-01, provided they are “CT Qualified” as defined in the Chrome CT Policy.」
とあるように、2016年(昨年)06月01日以降に発行されたSSL証明書は、
CTログへの掲載が適切であれば信用しつづけるのと内容が提案されています。

2016年06月01日以前に発行されたSSL証明書は、下記のスケジュールで信用されなくなることも提案されていまして、
Chrome開発チームによる当初の提案がそのまま実装される見込みはほぼ無くなってきたと判断するのが妥当な状況となっております。

・2017年08月31日(Chrome 62)以降は、2015年06月01日以前に発行されたSSL証明書を信用しない
・2018年01月18日(Chrome 65)以降は、2016年06月01日以前に発行されたSSL証明書を信用しない

仮に、この案どおりにChromeブラウザが実装を進めた場合、
2~3年の有効期間でSSL証明書を発行されていたお客様に影響が生じる可能性がございますが、
SSL証明書の再発行で解決できるかと思われますので、Chromeブラウザの仕様が確定ししだい、
該当するお客様へはご案内を差し上げるように致します。

シマンテック社が2017年08月08日までの再発行を推奨しました


日本シマンテック社のFAQ でも公開されたように、

・2017年08月31日(Chrome 62)以降は、2015年06月01日以前に発行されたシマンテック系SSL証明書を信用しない
・2018年01月18日(Chrome 65)以降は、2016年06月01日以前に発行されたシマンテック系SSL証明書を信用しない

に該当するSSL証明書をお使いのお客様は、2017年08月08日までにSSL証明書を再発行(無償)していただき、
再発行されたSSL証明書をWebサーバーへインストール(SSL証明書の置き換え)することが推奨されました。

該当するお客様宛に、近日中に個別にメールでご連絡差し上げますので、
ご不便をおかけいたしまして大変恐縮でございますが、SSL証明書の再発行を行っていただき、
再発行された新しいSSL証明書をWebサーバーへインストールしていただけますようお願い申し上げます。

Chrome開発チームから 2017年07月28日 に新提案


その後、2017年07月28日のDarin Fisher氏による投稿 で公開されたように、
Chrome開発チームから下記の提案がされています。

・2018年04月17日(Chrome 66)以降は、2016年06月01日以前に発行されたシマンテック系SSL証明書を信用しない
・2018年10月23日(Chrome 70)以降は、新しいPKIに移行する前に発行されたシマンテック系SSL証明書を信用しない

現時点で、本提案へのシマンテックからの公式な回答はございません(2017年08月08日までの再発行は推奨されたままです)が、
2018年04月頃までは既存証明書への影響が無さそうな状況となっております。

2017年09月11日 Chrome陣営の方針が確定しました


Google(Chrome開発チーム)から Google Security Blog : Chrome’s Plan to Distrust Symantec Certificates に公開されたように、上記の案がほぼそのまま実装されることが決定いたしました。

・2018年04月17日(Chrome 66)以降は、2016年06月01日以前に発行されたシマンテック系SSL証明書を信用しない
・2018年10月23日(Chrome 70)以降は、新しいPKI(DigiCert)に移行する前に発行されたシマンテック系SSL証明書を信用しない
・シマンテック現行システムから2017年12月1日以降に発行されるSSL証明書がもしあれば、それは信頼しない

※2017年12月1日までには、シマンテック系SSL証明書の発行処理が、DigiCertインフラへ移行完了している予定です。
※DigiCertインフラの移行後に、SSL証明書の各ブランド名がどのようになるかは未定ですが、特にジオトラスト系証明書のブランド名(RapidSSL や QuickSSL Premium など)はそのままになるのではと思われます。
※DigiCertインフラへの移行後のSSL証明書技術仕様については未定ですが、少なくとも中間証明書は変更となります。

「シマンテック系ブランドのSSL証明書が今後Chromeでまったく使えなくなる!」といったミスリーディングな論調の一部情報もございますが、そのようなことはもちろん無く、次のようにしていただくことで今後も同ブランドのSSL証明書を問題なくお使いいただけます。

<現在ご利用中のSSL証明書>
・2016年06月01日より前に発行され、2018年04月17日(Chrome 66)以降も有効なSSL証明書は 再発行が必要
・DigiCertインフラへの移行(2017年12月1日までに完了予定)前に発行され、2018年10月23日(Chrome 70)以降も有効なSSL証明書は、DigiCertインフラへの移行後に再発行が必要

再発行が必要なお客様あてには、今後別途ご連絡させていただきます。

<新規、更新で今後ご購入いただくSSL証明書>
・DigiCertインフラへの移行(2017年12月1日までに完了予定)前にご購入いただくSSL証明書は、大変恐縮ですが、DigiCertインフラへの移行後に再発行いただけますようお願い致します。
・DigiCertインフラへの移行後にご購入いただくSSL証明書は、問題なくそのままお使いいただけます。

※DigiCertインフラへの移行スケジュールなどは確定ししだい別途情報公開いたします。



 他の「資料/情報」へ
 TOPへ(低価格SSL証明書の詳細)
トップに戻る