Google Chromeによる、Symantec証明書の無効化スケジュールについて


Symantecによる証明書の管理不行き届き問題ですが、Symantecが証明書部門のDigiCertへの売却を決めたこともあって少しスケジュールも変わって、Google Chromeでの取扱が発表されていました。ややこしいので、(自分の理解用も含めて)要約しておきます。

対象となる証明書

Symantecグループ(Nortonだけでなく、GeoTrust、Thawte、RapidSSL、Equifaxなど)の、現在有効なもの・これから暫くの間発行されるものを含めた全証明書です(以下でいちいち言うのも面倒なので、「シマンテック」で代表します)。

もちろん、Let's Encrypt、Comodo、GlobalSign、セコムなど、Symantecと無関係な認証局から発行された証明書には、何の影響もありません。

タイムスケジュール

タイムスケジュールは「この日」と決まっているわけではないのが、またややこしいところです。

SymantecからDigiCertへの事業譲渡の日(2017/12/1以前)

古いSymantecのCAから、この事業譲渡以降に発行された証明書は、Google Chromeを通らなくなります。現実にそのような証明書が発行されるとも思えませんし、事業譲渡前に発行された証明書にはこの時点での影響はありません

Google Chrome 66(一般リリースは2018年4月中旬の予定)

2016年6月1日以前にシマンテックから発行された証明書が、Google Chromeを通らなくなります。もちろん、事業譲渡後のものは影響を受けません。

Google Chrome 70(一般リリースは2018年10月下旬の予定)

シマンテックから発行されたすべての証明書が、Google Chromeを通らなくなります。

取るべき対策

まずは、現在使っている証明書の発行日と期限を確認しましょう。

2017年12月までに切れる証明書の場合

実は、この場合がいちばん厄介で、事業譲渡前にSymantecの証明書を継続してしまうと、Google Chrome 70までに証明書の再発行が必要となりますし、新しい証明書も期限は13ヶ月となります。可能なら別なブランドに乗り換えてしまったほうがいいかもしれません。

事業譲渡後、証明書の期限より先に無効化されてしまう場合

具体的には、

  • 2016年6月1日以前の発行で、2018年4月以降も有効期限が残っているもの
  • 2016年6月1日以降の発行で、2018年10月以降も有効期限が残っているもの

この場合、DigiCertへの事業譲渡を待って、それから新システムで証明書を再発行してもらうことで、期限まで使うことができます。

事業譲渡後、証明書の期限が先に切れる場合

この場合は「ただ証明書が切れる場合」と同じで、更新してください。新システムで更新した証明書はこの措置の対象外です。