Safari は今年後半、作成日から 13 か月以上経過すると有効期限が切れる新しい HTTPS 証明書を受け入れなくなります。
つまり、期限後に発行された長期 SSL/TLS 証明書を使用している Web サイトでは、Apple のブラウザでプライバシー エラーが発生することになります。
このポリシーは、iGiantが水曜日に開催した認証局ブラウザフォーラム(CA/Browser)の会議で発表しました。会議出席者によると、9月1日以降、有効期間が398日を超える新しいウェブサイト証明書はSafariブラウザによって信頼されず、拒否されるとのことです。期限前に発行された古い証明書には、このルールの影響を受けません。
AppleはSafariにこのポリシーを実装することで、ひいてはすべてのiOSおよびmacOSデバイスにこのポリシーを適用することになります。これにより、ウェブサイト管理者や開発者は、証明書がAppleの要件を満たしていることを確認するようプレッシャーを受けることになります。そうでなければ、10億台を超えるデバイスやコンピュータでページが破損するリスクがあります。
その日以降に発行され、有効期限が398日を超える証明書は、Apple製品では信頼されなくなります。
今週スロバキアで開催された会議に出席した、PKIおよびSSL管理会社Sectigoのシニアフェロー、ティム・キャラン氏はThe Registerに次のように語った。「今週、Appleは第49回CA/ブラウザフォーラムFace-to-Faceで、2020年9月1日以降、受け入れ可能なTLS証明書の有効期間を398日に制限すると発表した。その日以降に発行され、有効期間が398日を超える証明書は、Apple製品では信頼されなくなる。」
9月1日より前に発行された証明書の有効期間は、現在の証明書と同じ825日間となります。これらの証明書については、特別な手続きは必要ありません。
証明書の有効期間を短縮することは、Apple、Google、そしてCA/Browserの他のメンバーによって数ヶ月前から検討されてきました。この方針にはメリットとデメリットがあります。
この変更の目的は、開発者が最新の暗号化標準に準拠した証明書を使用することでウェブサイトのセキュリティを向上させ、フィッシングやドライブバイマルウェア攻撃に盗まれて再利用される可能性のある、古く放置された証明書の数を減らすことです。専門家や悪意のある人物がSSL/TLS標準の暗号を解読できた場合、有効期間の短い証明書によって、約1年以内にユーザーはより安全な証明書に移行できるようになります。
証明書の有効期間を短縮することには、いくつかのデメリットが伴います。Appleなどの企業は、証明書の交換頻度を増やすことで、証明書とコンプライアンスの管理を担うサイト所有者や企業の業務を複雑化させていると指摘されています。
「証明書の置き換え頻度が増すにつれて、企業は人的オーバーヘッドとエラーのリスクを減らすために、証明書の導入、更新、ライフサイクル管理を支援する自動化を検討する必要があります」とCallan氏は語った。
Let's Encryptは90日後に期限切れとなる無料のHTTPS証明書を発行し、更新を自動化するツールも提供しているので、問題なく動作するはずです。実際、Let's Encryptは今やウェブ全体で利用されています。El Regの証明書は1年間有効なので、問題ないでしょう。
TLS 1.0、1.1の終焉がいよいよ到来: Firefoxは脆弱なHTTPS標準をブロックすることで「根絶」しようとしている
続きを読む
GitHub.comは2年間有効な証明書を使用していますが、これは期限前に発行されたものの、Appleの規則に違反することになります。しかし、6月までに更新される予定なので、解決する時間は十分にあります。Appleのウェブサイトには1年間有効なHTTPS証明書があり、10月に更新が必要です。
マイクロソフトは興味深い例だ。同社のドットコム認証は2年間有効で、10月に失効する。レドモンドがこれをさらに2年間更新した場合、Safariのポリシーに抵触することになるだろう。
Appleからの公式発表はまだ行われていないようです。DigicertのDean Coclin氏は、このポリシーについて次のようなメモを発表しました。
「なぜ Apple は一方的に証明書の有効期間を短くすることに決めたのか?」とコクリン氏は考えた。
広報担当者は「ユーザーを守るため」だと説明しました。CA/Bフォーラムでの過去の議論から、証明書の有効期間が長くなると、重大なセキュリティインシデントが発生した場合に証明書の置き換えが困難になることが分かっています。Appleは明らかに、証明書関連の重大な脅威に迅速に対応できないエコシステムを避けたいと考えているようです。
有効期間の短い証明書は、TLS証明書が侵害された場合に情報漏洩の危険性を減少させるため、セキュリティを向上させます。また、会社名、住所、アクティブなドメインなどのID情報を毎年更新することで、組織内の通常の運用上の変動を軽減するのにも役立ちます。あらゆる改善と同様に、有効期間の短縮は、証明書ユーザーがこれらの変更を実装するために要求される困難さとバランスを取る必要があります。
アップルはコメントを控えた。®
