Google が Chrome ブラウザの次期リリースおよび今後のリリースで Symantec 証明書のサポートを中止するプロセスを開始する数日前まで、多くの著名な英国のサイトが依然として Symantec 証明書を使用しています。
Google によるシマンテック発行のデジタル証明書の否認は、4 月と 10 月の 2 回の発効日にわたって実施される予定です。
2016 年 6 月 1 日より前に発行された Symantec 証明書は、2018 年 4 月 17 日の Chrome 66 (安定版) リリース* で動作しなくなります。2018 年 10 月 23 日の週に予定されている Chrome 70 リリースでは、Symantec が発行したすべての証明書に対する信頼が終了します。これは、Google のこちらのブログ投稿で説明されています。
Googleは昨年9月、業界のベストプラクティスに対する一連の違反疑惑を受けてChromeチームが「シマンテックのインフラの信頼性に対する信頼を失った」ことを受けて、「ウェブ閲覧時のユーザーのセキュリティとプライバシーを守るため、シマンテックのインフラへの信頼を減らし、最終的にはなくす」ことを計画している。
これらの制裁はGoogle単独ではなくコミュニティによって課されたものです。この具体的な処罰に至るまでの経緯は、Mozillaの開発者セキュリティポリシーメーリングリストの長文スレッドで説明されています。
修正が必要な人はいますか?
セキュリティ研究者のスコット・ヘルム氏は、ウェブクローラーを用いて、アクセス数上位100万サイトのデータを毎日収集しています。彼は、クローラーが収集した証明書をすべて解析し、まもなく信頼されなくなるシマンテックの証明書をまだ使用しているサイトを特定するスクリプトを作成しました。
「ウェブ上の上位1万サイトのうち、M66で脆弱性が悪くなるサイトは11サイト、上位100万サイトのうち502サイト(証明書を更新しない限り)です」とヘルム氏は報告しています。「M70はまだ先(10月)ですが、そのバージョンがリリースされた時点で脆弱性が悪くなるサイトは4,971サイトあります。」
ヘルメ氏の最新の数字は、2月に実施した同様の調査の最新版です。当時、証明書を更新しなければ4月か10月に8,000のサイトが機能停止することが判明しました。このうち1,321は4月に機能停止しますが、その後その数は502に減少しました。「このリストは網羅的なものではなく、見落としているものもいくつかあるはずです」とヘルメ氏はEl Regに語りました。「しかし、リストに載っているサイトは間違いなく影響を受けていると言えるでしょう。」
来月の Chrome 66 のリリースでデジタル証明書が否認される予定のサイトには、RAC も含まれる。
RACのSSL証明書は数日以内に否認される予定
現状のままでは、Chrome 66を使用しているユーザーは、RACのウェブサイトにアクセスする際に大きな赤い警告が表示されます。これは、GoogleのChrome 66ブラウザテクノロジーのベータ版、またはChrome Canary(常に数バージョン先)のユーザーには既に表示されています。
Chrome 66 で RAC の Symantec 発行 SSL 証明書による警告が表示される
サーファーはそのような警告を無視することもできますが、これは望ましくありません。
El Regからの問い合わせに対し、RACはこの問題を認識しており、問題となっているデジタル証明書はChrome 66が4月19日に正式リリースされる前に交換される予定であると述べた。RACの広報担当者はEl Regに対し、「これは当チームも認識しており、次期Chromeのベータ版リリースに先立ち、まもなく新しい証明書を当団体のサイトに適用する予定です」と述べた。
児童福祉団体NSPCCも、シマンテックの証明書ブラウザ警告問題の影響を受けています。El RegもNSPCCに通知しましたが、その四半期の回答はまだ得られていません。
児童慈善団体NSPCCは数日以内にデジタル証明書を変更する必要がある
英国の主要組織の中には、10月までに証明書の更新が必要なところがいくつかあります。これには、スコットレール、RBSグループの銀行(ナットウエスト、ロイヤル・バンク・オブ・スコットランド、アルスター銀行)、小売業のハウス・オブ・フレーザー、ブロードバンド事業者のガンマ・ファイバー・イーサネットなどが含まれます。
Google Chrome コンソールの RBS デジタル証明書の警告
IT 企業 SonicWall も、10 月の期限までにデジタル証明書を交換する必要がある。
El Reg社は、10月にHelme社から提供されたリストを確認した後、3月20日火曜日に上記のサイトで問題が発生していることを確認しました。当時証明書の切り替えが必要だった他の組織は、その後既に切り替えを完了しています。「デジタル証明書の変更」をToDoリストから外した企業には、英国国営宝くじや駐車場会社NCPなどがあります。
正規の読者は、これらのサイトにアクセスし、Chromeブラウザにバンドルされている開発者ツールで確認することで、これらの調査結果を確認できます。コンソールには、これらのサイトがM66(4月のChrome 66)またはM70(10月のChrome 70)のリリース時に機能しなくなることを確認するエラーメッセージが表示されます。
シマンテックは昨年8月、市場からの撤退準備として、CA事業全体をDigiCertに売却しました。ウェブサイト運営者は、DigiCertまたは他のプロバイダに移行する選択肢があります。シマンテックの証明書をご利用の方は、早急に切り替えを行ってください。さもないと、潜在顧客に対して意図せずデジタル障壁を築いてしまうリスクがあります。
「私が心配しているのは、地域社会全体が不信感とそれがもたらす影響に十分な準備ができていないように見えることです」とヘルメ氏は警告した。®
* Chromeベータ版ユーザーは2018年3月15日からアクセス可能になります
