影響あり Symantec、GeoTrust、RapidSSL、Thawte、Verisign 証明書への信頼が 2018 年 10 月にすべて失われます

公開日: | カテゴリー: プライバシー & セキュリティ

概要

様々な認証局運用問題 に起因する、複数ベンダーによる Symantec に対する信頼無効化措置の最終段階として、10 月 23 日公開の Firefox 63 は、Symantec から発行されたすべての既存 TLS サーバー証明書への信頼を取り消します。これには、GeoTrust、RapidSSL、Thawte、Verisign ブランド傘下で発行されたものも含まれます。10 月 16 日公開の Google Chrome 70 でも同様の変更が行われます。

Firefox 58 以降、影響を受ける証明書に対してコンソール警告が表示されており、Firefox 60 では 2016 年 6 月より前に発行された証明書への信頼が既に失われています。Firefox 63 以降、発行日に関わらず、Symantec から発行された証明書を使ったサイトに対して「安全でない接続」のエラーページが表示されます。

望まないエラーページを避けるため、それらのいずれかの証明書を使っているウェブマスターの皆さんは、できる限り早く それを新しいものと交換する か、他の認証局から代わりの証明書を入手しなくてはなりません。私たちは、信頼できる証明書を無償で提供している Let’s Encrypt を推奨します。

更新: この変更は 8 月 14 日に Firefox Nightly 上で行われ、影響を受けるサイトは Bug 1484006 で把握されています。Firefox Beta および Developer Edition は 9 月 25 日にこの変更を伴って更新されます。

更新 2: 影響を受けるサイトがまだ多数存在することから、9 月 25 日公開の Firefox 63 Beta 9 はまだ初期設定で信頼取り消しを有効化していません。Mozilla のエンジニアは、いつ有効化すべきか決定するため、状況を注意深く見守っています。

更新 3: Mozilla は 10 月中旬公開の Firefox 64 Beta へ 信頼取り消しを延期する ことを正式に発表しました。

更新 4: 信頼取り消しは Firefox 64 Beta で有効となりました。まだ影響を受ける証明書を使用しているウェブマスターの皆さんは、今すぐに行動を起こしてください。

参考資料