こんにちはHabr、以前のセキュリティブログで、シマンテック証明書(Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなどのシマンテック所有ブランドを含む)に対するChromeの信頼を減らす計画を発表しました。 この投稿では、サイト所有者がシマンテック証明書の信頼性低下の影響を受けるかどうかを判断する方法と、その場合、何をいつ行う必要があるかについて説明します。 これらの証明書の置き換えに失敗すると、ChromeやFirefoxなどの主要なブラウザーの将来のバージョンでサイトがクラッシュします。
クロム66
サイトが2016年6月1日より前にリリースされたシマンテックのSSL / TLS証明書を使用している場合、Chrome 66では正常に機能しなくなり、ユーザーに影響を与える可能性があります。
サイトでこのような証明書を使用しているかどうかわからない場合は、 Chrome Canaryを使用してサイトが危険にさらされているかどうかを確認できます。 以下に示すように、サイトにアクセスするときに証明書のエラーまたは警告がDevToolsに表示される場合は、証明書を置き換える必要があります。 最近CAのシマンテック事業を買収したDigicertなど、 信頼できるCAから新しい証明書を取得できます。
2016年6月1日より前にリリースされたレガシーSymantec SSL / TLS証明書を使用しているかどうかをChrome 66ユーザーが確認できる証明書エラーの例。
DevToolsメッセージで、Chrome 66より前に証明書を置き換える必要があるかどうかがわかります
Chrome 66は、CanaryおよびDevの配布チャネルで既に利用可能です。つまり、影響を受けるサイトは、これらのバージョンのChromeのユーザーに既にエラーを表示しています。 さらに、影響を受けるサイトが2018年3月15日までに証明書を置き換えない場合、まもなくChromeベータユーザーも不便を感じるようになります。 Chrome Canaryを使用して表示しているときにサイトにエラーが表示された場合は、サイト所有者にできるだけ早く証明書を交換することを強くお勧めします。
Chrome 70
Chrome 70以降、他のすべてのSymantec SSL / TLS証明書が機能しなくなり、KDPVに表示されるものと同様の証明書エラーが発生します。 証明書にリスクがあるかどうかを確認するには、Chromeを使用してサイトにアクセスし、DevToolsを開きます。 証明書を置き換えるように求めるメッセージがコンソールに表示されます。
DevToolsメッセージで、Chrome 70より前に証明書を置き換える必要があるかどうかがわかります
DevToolsでこのようなメッセージが表示された場合は、できるだけ早く証明書を置き換えることをお勧めします。 証明書が置き換えられない場合、2018年7月20日以降、ユーザーのサイトで証明書エラーが表示され始めます。 Chrome 70の最初のベータバージョンは、2018年9月13日頃に利用可能になります。
Chromeリリースタイムライン
以下の表は、Chrome 66および70のカナリア、ファーストベータ、および安定リリースの最初のバージョンを示しています。このバージョンの最初の効果は、最初のカナリアと一致します。 。 サイト運営者は、Chrome 66および70のFirst Canaryのリリース前に、対応するベータリリース日までにサイトに必要な変更を加えることを強くお勧めします。
ちなみに、 Chromiumプロジェクト開発カレンダーでは 、特定のバージョンのGoogle Chromeのリリースタイムラインに関する詳細情報をいつでも入手できます。
企業ユーザーのニーズを満たすため、Chrome 66から始まるレガシーSymantec PKIに対する不信を無効にするエンタープライズポリシーがChromeに追加されます。このポリシーは、それぞれレガシーSymantec PKIからの証明書、2019年1月1日以降は使用できなくなりますすべてのユーザーに対して信頼されなくなります。
特記事項:Chrome 65
以前の発表で述べたように、2017年12月1日以降に発行されたレガシーSymantec PKIからのSSL / TLS証明書は信頼されなくなりました。 これは、ほとんどのサイト所有者には影響しません。たとえば そのような証明書を取得するには、DigiCertとの特別な契約が必要です。 このような証明書を使用するサイトへのアクセスは失敗し、Chrome 65のリクエストはブロックされます。