読者です 読者をやめる 読者になる 読者になる

情緒不安定。

WEBサービスのインフラ担当SEの仕事・趣味の記録です。

【追記有(2016.04.22)】Windowsが遂にSymantecG1ルートを捨てるらしい

Windows SSL/TLS 公開鍵証明書

f:id:ls-ltr:20160411204843j:plain
本記事は2016年3月28日23時(JST)時点で調べた情報です。(一部更新してます)
最新情報等については必要に応じ、各業者にお問い合わせください。

【2016.04.22 追記開始】
当初4月19日に予定していたルート証明書更新プログラムですが、以下の通り延期となったみたいです。中止理由はわかりませんが、延期に関係なくクロスルートを使われている方は停止を引き続き検討すべきだと思います。

本日、マイクロソフト社より、日本時間4月19日または4月20日に予定されていたルート証明書情報の更新を延期する旨の通知を受領いたしました。延期後の実施日時などの詳細は、マイクロソフト社より情報を得られ次第、追加でご案内させていただきます。

Symantecサイトより抜粋
【2016.04.22 追記終了】


実は今年の1月にも同様の*1事象はあったのですが*2Microsoftが有名なレガシーなルート証明書の利用停止に向けて乗り出した模様です。

今回Symantecが発表したG1ルート証明書は、かなり前のものなのですが、有名な企業サイトでも現在もなお利用しているクロスルート*3証明書のに影響を及ぼすものなので書いてみました。

下記Symantec社のリンクを読めば、より詳細な内容が書いてありますが、噛み砕いた感じで書いてみましたので暇な方はどうぞ。
(本文章には私の知識不足のため、誤解を招く表現があるかと思います、ご指摘のほどお願いいたします。)

knowledge.symantec.com

影響開始日*4

2016年4月19日(火) 米国時間
2016年4月19日(火) または20日(水)日本時間

G1ルート証明書とは

Symantec社の自己署名証明書です。正式な名前は以下の表の通りです。
所謂、ルート証明書として世界中の広いプラットフォームに工場出荷の時点で入っています。
また、G1ルート証明書は鍵長の短さなどのセキュリティ上の理由から、
2015年12月末をもって新しい証明書への署名を中止(retired)していました。
今回のMS社の本対応は、Symantec社のretiredを受けてってのもあるかもですね。

f:id:ls-ltr:20160329002647p:plain
https://www.jp.websecurity.symantec.com/developer/step01.htmlから抜粋

影響内容

上記Symantec社のリンクにある、以下のタイトルのPDFがわかりやすかったです。
[補足資料] 2016年4月(予定)のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内について.pdf

端的に言うと、WindowsOSに入っているG1ルート証明書のサーバ認証オプションをDisable(ブラウザとサーバ間のSSL通信の認証としては利用させない)にするそうです。
そのため、G1ルート証明書に連鎖(チェイン)するクロスルート証明書がサーバから落ちてきた際に、検証を行おうとしてもサーバ認証ではG1ルート証明書は使えないため、SSL通信(ブラウザのURLでhttps://で始まるもの)が失敗し、エラー画面が出てしまう可能性があります。

影響先

これもPDFがわかりやすいです。
一般的に一番利用されているサーバ認証はブラウザとインターネットを経由したWEBサーバとのhttps通信だと思い込んで、簡単に抜粋してみる。

サーバ側

クロスルート証明書を送出しているか確認してみてください。
個人的に推しているSSLLABSさんを利用させてもらって、G1にチェインしている証明書をクライアント側に送っているかを確認する流れを書いておきます。

https://www.ssllabs.com/index.htmlへアクセス
右上のTestYourSeverを選択
Hostname:欄に調べたいWEBサイトのFQDNを入力し、submit
(2〜3分待つと結果が表示されると思います)
Additional CertificatesにG1に証明されている証明書が落ちてきているかを確認
 こんな風にIssuerって欄に書かれていたらそうです。
 Issuer VeriSign, Inc. / Class 3 Public Primary Certification Authority

クライアント側

SymantecG5ルート証明書が入っていないパソコン。
つまり、レガシーなパソコンです。(WindowsXP以前、WindowsUpdateなどを定期的に行ってないと怪しいです。)

上記のサーバ側とクライアント側と書いた条件に対してANDでヒットしそうだと思った場合、
2016年4月19日を境に、ブラウザで警告が出る可能性がありますので、ユーザは最新のSymantecG5ルート証明書のインストールをお願いします。
また、企業の皆さんは案内の準備をしたほうがいいかもですね。

MS社側告知

現在ではまだないみたいですね。
aka.ms

*1:コメントにてご指摘いただき、類似→同様という表現に変更しました。ありがとうございます。

*2:SMIME署名機能をG1証明書のオプションから OFFにする設定を配布していた。https://knowledge.symantec.com/jp/support/securemail-id-support/index?page=content&id=ALERT1958&actp=LIST&viewlocale=ja_JP

*3:クロスルートとは https://jp.globalsign.com/support/faq/431.html

*4:インターネットを介しての配布なので影響が始まる時間と考えた方が良い。実際は、ユーザ次第。