9 月 1 日より、Safari から macOS、iOS に至るまで、Apple ソフトウェアは、いくつかの注意事項を付帯して、有効期間が 398 日を超える新しい HTTPS およびその他の SSL/TLS 証明書を拒否します。
もし聞き覚えがあるなら、それはiGiantが正式にポリシーを発表する前の2月に私たちがお伝えしたからです。1か月後、iGiantはいくつかの例外を除いてルールを公開しました。例えば、このポリシーは、ユーザーや管理者が追加したCAではなく、Appleのオペレーティングシステムに認識されているルートCAから発行された証明書に適用されます。
Appleは公式通知で、「これらの新しい要件に違反するTLSサーバーへの接続は失敗します。これにより、ネットワークとアプリに障害が発生し、ウェブサイトが読み込まれなくなる可能性があります」と警告した。
ネットユーザーにとって、これはウェブサイトやアプリが9月1日以降、Apple製品上で期待通りに動作しなくなる可能性があることを意味します。これは、当該サイトやアプリが398日を超える有効期間を持つ新しい暗号化証明書を更新または使用した場合です。開発者やサイト管理者にとって、これは9月1日以降に証明書を作成または更新する場合は、期限内に有効期限が切れるようにしてください。期限内に期限が切れないと、Safari、iOS、その他のAppleソフトウェアで期待通りに動作しなくなります。ユーザーにはエラーメッセージが表示されたり、接続に失敗したり、サービスが中断したりする可能性があります。
Appleが長期有効HTTPS証明書に衝撃の事実:Safariは13ヶ月以上有効な新しいセキュリティ証明書を拒否する
続きを読む
Apple は、このポリシーにより、Web サイトやアプリが証明書を 1 年に 1 回更新して最新の暗号化標準を使用するように促し、盗まれた証明書がすぐに期限切れになるため、長期間にわたるフィッシング キャンペーンやその他の悪質な行為に使用されないようにできると考えています。
批評家、特に商用証明書販売業者は、この変更はソフトウェアメーカーやサイト所有者に余分なコストと手間を強いることになり、人々を Let's Encrypt などの無料サービスへと駆り立てることになるだろうと述べている。ちなみに Let's Encrypt は、無料で証明書を定期的かつ自動的に更新するツールを提供している。
いずれにせよ、先週の Chromium ブラウザ エンジン ソース コードへの次のコミットから判断すると、Google Chrome も追随することになるだろう。
MozillaはFirefoxブラウザにこのポリシーを導入する準備を進めています。Mozillaのプログラムマネージャー、キャスリーン・ウィルソン氏は3月、このポリシーを導入する前に、業界全体でこのポリシーを支持するコンセンサスを得ることができれば良かったと述べつつ、「しかしながら、既に動き始めています」と付け加えました。
Mozillaをはじめとする大手IT企業は以前、証明書発行会社とブラウザメーカーの団体であるCA/ブラウザフォーラムに対し、証明書の有効期間短縮を求めるロビー活動を行っていました。しかし、これらの提案が投票で否決された後、Appleは業界フォーラムを経由せず、有効期間を1年に制限するポリシーを採択しました。この動きはChromiumチームも支持していました。MozillaとGoogleの広報担当者は、これ以上のコメントを得られませんでした。
いま、Microsoftに注目が集まっています。同社は秋までにこの問題について決定を下すと予想されています。ただし、EdgeブラウザはエンジンとしてChromiumを使用していることをご承知おきください。
証明書販売業者はこの変更に憤慨したと言わざるを得ません。「投票結果に反するAppleの一方的な決定は、我々の観点からすると、CA/Bフォーラムを少々無意味なものにしている」と、スペインの証明書ビジネス企業Firmaprofesionalは皮肉を込めて述べています。
Telia 氏は次のように付け加えた。「変更には対応できますが、これはコミュニティにとって不必要な負担であり、SSL 自動化の構築にさらに 2 年ほど時間を与えるべきだと考えています。」®
