ブログなどのサイト運営をしていて、セキュリティを強化するためにSSLを使って接続しているところは多いと思います。特に最近では常時SSL化にするサイトも増えてきています。WebブラウザのシェアのトップにあるGoogleが提供するChromeブラウザはバージョンを重ねるごとにセキュリティ警告を表示する対象サイトの範囲も拡大してきています。現在では、IDやパスワードのログイン情報やクレジットカード番号などの決済情報を入力するフォームのあるページや、サイト内検索のフォームのあるページがHTTP(SSL/TLS暗号化されていない)接続で合った場合は、「保護されていません」という警告がURLの左に表示されます。
参考:
Google Security Blog – Next Steps Toward More Connection Security
これらは警告がでるもののサイトへのアクセスはできます。しかし、2018年3月以降に予定されているのは、一部のSSLサイトが警告表示されてサイトへアクセスできなくなります。というのは、Googleは今後Symantecが発行するSSL/TLS証明書に対する信頼を削除すると発表しているのです。
参考:
Chrome’s Plan to Distrust Symantec Certificates
つまりSymantecが発行したSSL/TLS証明書を使っているサイトは、接続できなくなるのです。(オー・マイ・ゴッドファーザー降臨!!!)
理由は、2017年1月にSymactecは業界標準の監査プロセスに従わずSSL/TLS証明書を発行していたことが明らかになったことに対して、GoogleがChromeブラウザでSymantecが発行した証明書を信頼しないようにすることを検討していたのを、協議の結果実施することを決めたためです。
Symantecはすでに事業をDigiCertへ売却しているので、RapidSSLなど同SSLサービスでもこれから証明書を発行するものは警告されません。Googleは段階的に信頼を削除するとのことで、まずは2018年3月にBeta版リリース予定のChrome66では2016年6月1日より前に発行された証明書の信頼を削除します。続いて、2018年10月にリリース予定のChrome70では発行日に関係なく全てのSymantecが発行した証明書の信頼を削除します。それまでにSymantecが発行した証明書を使っているサイトは証明書を入れ替える必要があります。
すでにこのニュースは広く公開されていて、契約しているレンタルサーバーなどのバックエンドサービスを利用している方はそこから重要事項として連絡がきているかとおもいます。しかし2018年ももうすぐです。3月もあっという間にくるので忘れないよう喚起する意味もこめてブログにまとめとして書きました。
表示しているサイトが対象かどうかの確認方法
Chromeブラウザを使ってアクセスしているhttps://のサイトが警告表示される対象のSSLかどうかを確認する方法があります。
まずChtomeの右メニューからディベロッパーツールを開きます。
表示しているページが警告対象であった場合は、ディベロッパーツール画面のコンソールに以下のような黄色のWarningが表示されます。
警告対象でなかった場合はWarningは表示されません。
最後に
もしご自分が利用しているレンタルサーバーなどのバックエンドサービスから特に連絡ないけど不安な場合は確認しておいた方がいいでしょう。例えばこのブログが利用しているさくらレンタルサーバーは以下のような情報をニュースリリースに公開しています。
参考:さくらインターネット
・【重要】シマンテック社SSLサーバー証明書に関する再発行対応について