iPhoneなどでエラーになるかも!?Apple、SSLサーバー証明書の有効期限は13か月以下に制限すると発表
2020.05.21 Posted by yamaguchi
2020年2月、スロバキアの首都ブラチスラヴァで行われたCA / ブラウザフォーラム※で、 Apple社が、9月1日以降に発行されるパブリック証明書は「398日以内の期限を持つものに制限する」と発表しました。
参考:https://www.digicert.com/jp/position-on-1-year-certificates/
この発表によって今後どんな影響がでるのでしょうか?
※COMODO社、DigiCert社、 Symantec社などの認証局事業者と、Apple社やGoogle社、Microsoft社、Mozilla社、 Opera Software社などのWebブラウザ開発を手掛けるソフトウェア会社などが参加する団体。電子証明書を利用した通信の安全性、利便性を向上させるガイドラインを策定している。
目次
Appleの決定、今後の影響は?
Appleで開発されているWebブラウザがSafariです。SafariはMacの他、iPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。このSafariで、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。
つまり、Safariでは「有効期間が399日以上」のWebサイトは、なんらかの影響を受ける可能性があるということになります。
すでに利用中または、購入済みのSSL証明書はどうなるの?
Appleの発表では、2020年9月1日より前(8月31日以前)に発行されたSSL証明書は、エラー/警告の対象外になると発表していますから該当する場合は一安心です。
しかしAppleの広報担当者は今回の期間短縮を、Webセキュリティを改善し、「ユーザーを保護する」ためだと述べており、重大な証明書関連の脅威に迅速に対応できないシステムを避けたい考えを持っているようです。このことからも今後は期間が短縮されることはあっても、伸びることはなさそうです。
その他ブラウザは対応する?
ちなみに今回のApple社とそのブラウザであるSafariのお話は、あくまでApple社にとどまるものです。
CA/Browser Forum が業界共通のルールとして定めた、というものではなく、Apple が独自に同社の製品に適用する仕様です。
現時点では他のブラウザの証明書有効期間が短縮する決定がなされたわけではありません。
しかし今回のApple下した決定は、少なからずWebブラウザの世界において大きな影響を与えます。今後Google(Chrome)やMozilla(Firefox)が追随してくる可能性もゼロではありません。身構えておいても損することはないでしょう。
SSL証明書の有効期間は、短期間の方がセキュリティ的に良い?
一般的にSSL証明書の有効期間は短ければ短いほどセキュアとされています。
過去のCA / ブラウザフォーラムの議論から、重大なセキュリティインシデントの際、証明書の寿命が長くなると証明書の入れ替えが難しくなることがわかっています。
Googleもまた2019年8月に有効期間の短縮を求めていましたが、そのときは否決されています。
現在Appleのみの発表となっていますが、一度発議したGoogleはもちろん、Firefoxなどのブラウザが追従する可能性は少なくないと思われます。
今後考えられる対処方法は?
運用側としては、今後Webサイト用のSSL証明書を購入する場合、2020年9月1日以降は「1年証明書」を買う方が賢明かもしれません。
Safariで有効期限切れによるSSLエラーが出るということは、日本で6割近いスマートフォンのシェアを占めるiPhoneでエラーが出るというになるからです。これは数の上でも無視できるものではありませんね。
まとめ
このように、SSL証明書に関するブラウザ仕様は全て統一されているわけではありません。
すべての動向を追うべき、というものではありませんが今回のようにシェアが大きいブラウザの仕様変更は、チェックしておいたほうがよさそうです。
CA/Browser Forumについて興味を持った方は、提案されている内容をチェックしてみると良いかもしれません。
関連記事こちらの記事も合わせてどうぞ。
2024.07.24
2024.01.25
2023.12.07