数百の有名ウェブサイトは、来週の Chrome 70 のリリースとともに開始される、Symantec が発行した従来のデジタル証明書の全面無効化にまだ備えができていない。
シマンテックの証明書を保留しているサイトはこう語った。「Google Chromeの警告は見栄えが悪い」
続きを読む
10 月 16 日にリリースされる Chrome 70 では、旧ブランドの Equifax、GeoTrust、RapidSSL、Thawte、VeriSign を含む Symantec が発行した証明書が認識されなくなります。
来週の期限をもって、過去1年間続いてきたサポート終了が完了します。このプロセスの第1段階は、Chrome 66のリリースと同時に4月に開始され、2016年6月初旬までに発行された証明書は、Googleのブラウザソフトウェアの最新リリースおよびそれ以降のリリースのユーザーに対しては機能しなくなりました。
Chrome 70では、シマンテックの旧インフラで発行されたすべてのTLSサーバー証明書の信頼が終了します。この証明書の信頼停止は、業界のベストプラクティスに反する一連の違反行為を受けて、Google Chromeブラウザチームが「シマンテックのインフラの信頼性に対する信頼を失った」ことを受けて決定されました。
この否認は違反の疑いに対するコミュニティの反応だが、Google はシャットアウトの実施の最前線に立っている。
securityheaders.comとreport-uri.comを運営するセキュリティ研究者、スコット・ヘルム氏は、ウェブクローラーのデータにスクリプトを適用し、ウェブ上の上位100万サイトのうち、どのサイトがまだシマンテックの証明書を使用しているかを調べました。ヘルム氏の調査によると、10月16日の期限までわずか3週間後の9月25日時点で、合計1,139サイトがシマンテックの証明書を使用していました。
ferrari.com や postnord.se など、影響を受けるサイトの一部は、ここ数日で証明書を変更し、警告が表示されなくなりましたが、世界中の他の何百ものサイトは、まだ準備ができていません。
ヘルメ氏の最新の数字は、同氏が4月に実施した同様の調査の最新版であり、その調査では、上位100万サイトのうち約500サイトが4月に、4,971サイトがデジタル証明書を交換しなければスムーズに機能しなくなることを発見した。
英国の著名な組織が、来週までに認証情報を変更する必要があります。Hill and Dale Outdoors(hillanddaleoutdoors.co.uk)、Micro Scooters(micro-scooters.co.uk)、External Invoicing(externalinvoicing.co.uk)、新車・中古車販売店のMarshall(marshall.co.uk)、HomeoVet Animal Care(homeovet.co.uk)などがその例です。
現状では、Chrome 70を使用しているユーザーは、来週、これらのウェブサイトにアクセスした際に大きな赤い警告が表示されることになります。ベータ版ユーザーには既に警告が表示されており、数日後には一般ユーザーにも表示される予定です。ユーザーはこのような警告を無視してサイトにアクセスすることも可能ですが、これは決して推奨できる行為ではありません。シマンテックの証明書を使用しているサイトでは、事実上、ウェルカムマットが「モンスターがいます」というデジタル版の看板に置き換わってしまうことになります。
中古車販売店のマーシャルは、シマンテック発行の証明書を新しい部品に早急に交換する必要がある(クリックして拡大)
エル・レグは、ヘルメ氏の最新リストを確認した後、10月9日火曜日に指定されたサイトにおける問題を特定した。
読者の皆様は、関連サイトにアクセスし、Chromeブラウザにバンドルされているデベロッパーツールを確認することで、これらの結果を確認できます。コンソールには、Chrome 70のリリースに伴い、これらのサイトがクラッシュし、正常に動作しなくなることを確認するエラーメッセージが表示されます。
シマンテックは昨年8月、デジタル証明書事業をDigiCertに売却しました。Web管理者は、問題を回避するためにDigiCertまたは他のプロバイダーに移行するという選択肢があります。差し迫った期限までにデジタル証明書を更新しないと、潜在顧客に対して意図せずデジタル障壁を築いてしまうリスクがあります。
人々は何をすべきでしょうか?
数か月前に発表された、周知の事実に基づいた変更に対して、多くの組織が未だ準備ができていないのはなぜでしょうか?ヘルメ氏は、これらの変更を実施するのは決して難しいことではないと付け加えました。
「今回の変更は、特に今回の変更について十分な事前通知があったことを考えると、組織にとって非常に容易な変更となるはずです」と彼はEl Regに語った。「証明書の置き換えは、プロセスや取得する証明書の種類によって異なりますが、最短数分、最長数日で完了します。いずれにせよ、最悪のシナリオでは、組織がM70のリリース前に、既に数ヶ月前に通知を受けていたにもかかわらず、証明書を変更してしまう可能性があります。」
ヘルム氏は、この問題に関する報道が一定量あるにもかかわらず、対応の遅い組織はシマンテックが発行した証明書の否認が差し迫っているというニュースにまだ気づいていない可能性があると推測した。
「組織がなぜこの遅い段階でこれらの証明書を置き換えていないのか、私の推測では、変更が迫っていることを知らないからに他なりません」と彼は述べた。「この変更については多くの報道があり、Chromeは影響を受けるサイトに連絡を取り、私のような研究者も影響を受けるサイトの詳細とリストを公開しています。サイトがこの変更を無視して、世界で最も人気のあるブラウザに侵入しようとするとは考えにくいので、おそらく単に知らないだけでしょう。」®
