連載
» 2017年12月01日 05時00分 公開

Tech TIPS:Chromeで信頼されなくなるSymantec発行のSSL証明書かどうか判定・確認する方法

Googleは近い将来、ChromeブラウザでSymantecやジオトラスト、RapidSSLなどが発行したSSL証明書を信頼しないようにすると発表した。これがWebサーバ管理者にどのような影響を与えるのか、またどの証明書が該当するのか判断する方法を説明する。

[島田広道,デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象:デスクトップ版Google Chrome


 2017年9月、Googleは自社のブログで、Symantecの認証局から発行されたSSL証明書をGoogle Chromeで「信頼しない」ようにすること、およびそのスケジュールを公表した。

 これはいったいどういうことなのか? Webサーバ運営・管理者にどのような影響があるのか?

SSL証明書が「信頼されない」とHTTPSサイト表示時にエラーが生じる

 最初に「SSL証明書が信頼されない」とはどういうことか説明しよう。

 Google Chromeに限らずWebブラウザは、HTTPSのWebサイトに接続する際、SSL証明書が正当なものかどうか検証する。もし有効期限やコモンネーム、発行元(認証局)などに何かしら異常が見つかった場合、アドレスバー左端のアイコンやブラウザペインにその旨のエラーを表示してエンドユーザーに知らせる。

信頼できないSSL証明書によってChromeがエラーを表示した例 信頼できないSSL証明書によってChromeがエラーを表示した例

 この状態ではHTTPSによる暗号化は信頼できず、通信中に盗聴や改ざん、なりすましの被害を受ける危険がある。

 つまり、近い将来、Symantecの認証局から発行されたSSL証明書を組み込んであるWebサイトに対し、Google Chromeで閲覧したエンドユーザーにはこうしたエラーが表示されるようになる、ということだ。Webサイト運営・管理側としては何としても避けるべき未来である。

発端はSymantecのパートナーによる不適切な証明書の発行

 なぜこのような事態になってしまったのか? その発端は、Symantecの証明書発行事業における一部のパートナー企業が、明らかに不正なドメイン名をコモンネーム(共通名)に持つ証明書を発行していたなど、不適切な証明書の取り扱いが発覚したことだ。パートナーと言っても、証明書の発行にはSymantecのシステムが用いられ、また同社の認証局が信頼の連鎖におけるルートとなっていた。

 この事態を重く見たGoogleとMozillaは、Symantecとの協議を経て、Symantecのシステムから発行された全ての証明書を丸ごとごっそり、将来的にGoogle ChromeやMozilla Firefoxなどで信頼しないようにすることを決定した。この「全て」には、正規の手順で発行された証明書も含まれる。まっとうに証明書を購入して使用しているWebサイト運営・管理者にとっては、とんだとばっちりだ。

「信頼されなくなる」のは2018年3月から

 Googleは、Google Chromeのバージョンアップに伴って、次のように段階的にSymantec認証局から発行された証明書を信頼しなくなる予定だ。

  • 2016年5月以前に発行された証明書: Chrome Ver.66から信頼されなくなる
  • 2016年6月以降に発行された証明書: Chrome Ver.70から信頼されなくなる
ChromeがSymantec認証局発行の証明書を信頼しなくなるスケジュール ChromeがSymantec認証局発行の証明書を信頼しなくなるスケジュール

 Mozilla Firefoxも多少の違いはあるものの、同様のスケジュールでSymantec発行の証明書を信頼しなくなる予定だ。

 一方、Microsoft(Internet ExplorerやEdge)やApple(Safari)については、本件について特に発表はない。

 とはいえGoogle Chromeは世界でも日本国内でも数十%の市場シェアがあり、その影響は無視できない。もし管理下のWebサイトで対象の証明書を使っているなら、2018年2月中には何らかの対処をするのが望ましい。

信頼されなくなるのはSymantec傘下企業が発行した証明書も

 信頼されなくなる証明書は、Symantecから直接発行されたものだけに限らず、Symantecの傘下だった企業や事業部、ブランドから発行されたものも含まれる。具体的にはジオトラスト(GeoTrust)やRapidSSL、Thawteなどが挙げられる。

 以下の画面は、信頼されなくなる予定のSSL証明書のプロパティをWindowsで開き、その証明のパス(信頼の連鎖)を表示したものだ。ルート認証局には特に「Symantec」と記されていないが、信頼されなくなる対象となっている。

信頼されなくなる予定の証明書の例(RapidSSL発行) 信頼されなくなる予定の証明書の例(RapidSSL発行)

 さらにいえば、Symantecの証明書発行事業はその傘下も含めて、2017年12月以降にDigiCert社に移管されることが決まっている。その結果、同じジオトラストやRapidSSLといったブランドでも、その認証局は2017年11月以前に発行されていればSymantec系、2017年12月以降ならDigiCert、と入り混じることになる。

 もちろんDigiCertの認証局から発行されていれば、前述のスケジュールとは関係なく、その証明書は信頼されたままだ。このように同じブランドでも発行時期によってくっきり明暗が分かれることになる。

 こうした事情から、いまWebサイトに組み込んであるSSL証明書が果たして信頼されなくなる対象なのか否か、判定するのが意外と難しい状況といえる。

Chrome Ver.62以降が発する「警告」で判定するのが簡単

 本稿執筆時点で最新のデスクトップ版Google Chrome Ver.62では、HTTPS対応のWebサイトを開くと、そこに組み込まれているSSL証明書の発行元などを調べて、今後信頼されなくなる対象だったら警告を発する機能が実装されている。その有無を確認するのが、手軽で簡単だろう。

 その警告を確認するには「デベロッパーツール」を利用する。まずはGoogle Chromeで対象のHTTPSサイトを開いてから、右上のメニューボタンをクリックして[その他のツール]−[デベロッパー ツール]をクリックする。あるいは、[Ctrl]+[Shift]+[I]キーまたは[F12]キーを押す(macOSでは[Option]+[Command]+[I]キー)。

まずChromeのデベロッパーツールを開く まずChromeのデベロッパーツールを開く

 デベロッパーツールはデフォルトでブラウザペインの右側あるいは下側に表示されるはずだ。そこで[Console]タブを選び、表示されたコンソール欄に、次の警告が表示されているかどうか確認する

「The certificate used to load <対象サイトのURL> uses an SSL certificate that will be distrusted in an upcoming release of Chrome. Once distrusted, users will be prevented from loading this resource. See https://g.co/chrome/symantecpkicerts for more information.」

Chromeのデベロッパーコンソールで警告メッセージを確認する Chromeのデベロッパーコンソールで警告メッセージを確認する

 もし表示されていたら、将来のGoogle Chromeでは信頼されなくなる証明書なので、別の認証局で発行された証明書に差し替えることを検討すべき、と判断できる。

信頼されなくなる証明書は「再発行」「更新」がベター

 もし信頼されなくなる証明書だと判定されたら、信頼され続ける証明書を取得して差し替えなければならない。それには、証明書の「再発行」「更新」「新たに作り直し」という選択肢がある。

 まずは証明書を購入した代理店などに対して「再発行」を依頼してみよう。無料あるいは廉価で、ルート認証局がDigiCertに変わった証明書を再発行してもらえる場合があるからだ。以下はその例である。

 その際には、本当にDigiCertの認証局から発行されるか(旧来のSymantec系認証局から発行されないか)、購入元によく確認しよう。

 再発行ができない場合、同じく購入元に対して「更新」を依頼してみよう。通常、有効期限の3カ月ほど前から証明書の更新手続きを始められる。これから更新すれば、やはりDigiCertの認証局から発行された証明書が取得できるはずだ(再発行の場合と同じく、購入元によく確認すること)。再発行に比べると費用はかかる一方で、特に組織・企業認証(OV)やEV認証では後述の新規購入より手間が省けることがある。

 再発行も更新もできないなら、新たに購入し直すほかない。この場合、直接購入する業者やルート認証局の制限はない一方で、手間や費用は再発行や更新より増えてしまう(余談だが筆者はよく確認せず、約1年の有効期間を残したまま、SymantecともDigiCertとも異なる認証局発行の証明書を新規発行してもらった結果、数千円の損をしてしまった)。

 いずれの場合も、証明書を差し替える際に、新たな中間証明書をWebサーバに保存するのを忘れないように注意しよう。ルート認証局が変わるのに伴って中間認証局も変わり、結果として中間証明書も従来とは別のものが必要になるからだ。

WebサイトのSSL証明書の詳細をクライアント側から調べるには

 再発行や更新にあたって、現在Webサイトに組み込まれているSSL証明書のさらなる詳細を確認したいことがある。その場合Google Chromeであれば、まず前述のデベロッパーツールで[Security]タブを選んでから、[View certificate]ボタンをクリックする。

Webサイトに組み込まれているSSL証明書のプロパティを表示させる Webサイトに組み込まれているSSL証明書のプロパティを表示させる

 するとSSL証明書のプロパティが表示される。ほとんどの設定項目は[詳細]タブに記されている。

SSL証明書のプロパティの[詳細]タブ SSL証明書のプロパティの[詳細]タブ

 SSL証明書の発行元(中間認証局)や、さらにその大本の発行元(ルート認証局)は、[証明のパス]タブで確認できる。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。