Symantec の PKI の無効化について: 要対応確認

2018 年 4 月 4 日(水曜日)

Google セキュリティ ブログに同じ内容が投稿されています)

以前にお知らせしたように、Chrome での Symantec の認証局(Symantec が所有する Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのブランドも含む)への信頼が無効化される予定です。本投稿では、サイト運営者が今回の無効化によって影響を受けるかどうかを判断する方法と、影響を受ける場合、いつまでに何をする必要があるのかについて説明します。対象となる証明書の置き換えを行わないと、Chrome などの主要なブラウザの今後のバージョンで、サイトを正しく閲覧できなくなります。

Chrome 66

2016 年 6 月 1 日より前に発行された Symantec の SSL/TLS 証明書を使っているサイトは、Chrome 66 で動作を停止します。これにより、すでにユーザーに影響が出ている可能性があります。

このような証明書をサイトで使用しているかどうかご不明な場合は、Chrome Canary で変更をプレビューして、サイトが影響を受けているかどうかを確認できます。サイトに接続した際に、以下に示すような証明書エラーまたは DevTools での警告が表示される場合は、証明書を置き換える必要があります。Symantec の CA 事業を最近買収した Digicert を含む信頼できる CA から、新しい証明書を取得できます。

Chrome 66 ユーザーに表示される可能性がある証明書エラーの例
2016 年 6 月 1 日より前に発行された Legacy Symantec SSL/TLS 証明書を使用している場合に Chrome 66 ユーザーに表示される可能性がある証明書エラーの例。
Chrome 66 のリリース前に証明書を置き換える必要があることを示す DevTools のメッセージ。
Chrome 66 のリリース前に証明書を置き換える必要がある場合に表示される DevTools のメッセージ。

Chrome 66 は、Canary チャンネルと Dev チャンネルですでにリリースされています。そのため、影響を受けているサイトはこれらの Chrome チャンネルを使用しているユーザーに対して、すでに影響を与えています。影響を受けるサイトが 2018 年 3 月 15 日までに証明書を置き換えなかった場合は、Chrome ベータ版のユーザーにもエラーが発生し始めます。Chrome Canary 版から現在のサイトを開いてエラーが発生する場合、できる限り早期に証明書を置き換えることを強くおすすめします。

Chrome 70

Chrome 70 以降、他のすべての Symantec SSL/TLS 証明書が動作しなくなり、前述のような証明書エラーが発生します。ご使用の証明書が影響を受けるかどうかを確認するには、現在の Chrome でサイトにアクセスし、DevTools を開きます。証明書を置き換える必要がある場合、そのことを通知するメッセージがコンソールに表示されます。

Chrome 70 のリリース前に証明書を置き換える必要があることを示す DevTools のメッセージ。
Chrome 70 のリリース前に証明書を置き換える必要があることを示す DevTools のメッセージ。

DevTools にこのメッセージが表示される場合は、できる限り早く証明書を置き換えてください。証明書を置き換えないと、早ければ 2018 年 7 月 20 日に、サイトで証明書エラーが発生し始めます。最初の Chrome 70 のベータ版リリースは、2018 年 9 月 13 日頃を予定しています。

Chrome のリリース予定スケジュール

下の表は、Chrome 66 および 70 の最初の Canary 版、ベータ版、安定版リリースの日程を示しています。リリースによって受ける影響は、最初の Canary 版リリースのタイミングから発生し始めます。それ以降、ベータ版、そして最終的に安定版がリリースされるにつれて、対象デバイスの範囲が徐々に広がります。サイト運営者の方には、Chrome 66 および 70 の最初の Canary リリースが行われる前、遅くともベータ版のリリース日までに必要な変更を行うことを強くおすすめします。

リリース 最初の Canary 版 最初のベータ版 安定版リリース
Chrome 66 2018 年 1 月 20 日 ~2018 年 3 月 15 日 ~2018 年 4 月 17 日
Chrome 70 ~2018 年 7 月 20 日 ~2018 年 9 月 13 日 ~2018 年 10 月 16 日

特定のバージョンの Chrome のリリース スケジュールに関する情報は、Chromium 開発カレンダーにも掲載されています。リリースのスケジュールが変更になった場合は、このカレンダーが更新されます。

特定の企業ユーザーのニーズに対応するため、Chrome 66 以降では、Legacy Symantec PKI の無効化を停止する Enterprise Policy も実装されます。2019 年 1 月 1 日には、このポリシーは利用できなくなり、すべてのユーザーに対して Legacy Symantec PKI が無効化されます。

特記事項: Chrome 65

以前のお知らせに記載されているとおり、2017 年 12 月 1 日以降に発行された Legacy Symantec PKI による SSL/TLS 証明書は信頼されなくなります。対象となる証明書は、DigiCert と特別な契約を結んでいなければ取得できないので、大部分のサイト運営者はこれによる影響を受けることはありません。Chrome 65 時点で、対象となる証明書を使っているサイトにアクセスすると、エラーが発生してリクエストはブロックされます。このエラーを回避するには、対象となる証明書が Chrome などのブラウザではなく、以前のデバイスのみに対してサービスを提供するようにします。

投稿者: Devon O'Brien、Ryan Sleevi、Emily Stark(Chrome セキュリティ チーム)