【追記有(2016.04.22)】Windowsが遂にSymantecG1ルートを捨てるらしい
本記事は2016年3月28日23時(JST)時点で調べた情報です。(一部更新してます)
最新情報等については必要に応じ、各業者にお問い合わせください。
【2016.04.22 追記開始】
当初4月19日に予定していたルート証明書更新プログラムですが、以下の通り延期となったみたいです。中止理由はわかりませんが、延期に関係なくクロスルートを使われている方は停止を引き続き検討すべきだと思います。
本日、マイクロソフト社より、日本時間4月19日または4月20日に予定されていたルート証明書情報の更新を延期する旨の通知を受領いたしました。延期後の実施日時などの詳細は、マイクロソフト社より情報を得られ次第、追加でご案内させていただきます。
Symantecサイトより抜粋
【2016.04.22 追記終了】
実は今年の1月にも同様の*1事象はあったのですが*2、Microsoftが有名なレガシーなルート証明書の利用停止に向けて乗り出した模様です。
今回Symantecが発表したG1ルート証明書は、かなり前のものなのですが、有名な企業サイトでも現在もなお利用しているクロスルート*3証明書のに影響を及ぼすものなので書いてみました。
下記Symantec社のリンクを読めば、より詳細な内容が書いてありますが、噛み砕いた感じで書いてみましたので暇な方はどうぞ。
(本文章には私の知識不足のため、誤解を招く表現があるかと思います、ご指摘のほどお願いいたします。)
影響開始日*4
2016年4月19日(火) 米国時間
2016年4月19日(火) または20日(水)日本時間
G1ルート証明書とは
Symantec社の自己署名証明書です。正式な名前は以下の表の通りです。
所謂、ルート証明書として世界中の広いプラットフォームに工場出荷の時点で入っています。
また、G1ルート証明書は鍵長の短さなどのセキュリティ上の理由から、
2015年12月末をもって新しい証明書への署名を中止(retired)していました。
今回のMS社の本対応は、Symantec社のretiredを受けてってのもあるかもですね。
https://www.jp.websecurity.symantec.com/developer/step01.htmlから抜粋
影響内容
上記Symantec社のリンクにある、以下のタイトルのPDFがわかりやすかったです。
[補足資料] 2016年4月(予定)のマイクロソフト社のルート証明書情報更新の影響と対策に関するご案内について.pdf
端的に言うと、WindowsOSに入っているG1ルート証明書のサーバ認証オプションをDisable(ブラウザとサーバ間のSSL通信の認証としては利用させない)にするそうです。
そのため、G1ルート証明書に連鎖(チェイン)するクロスルート証明書がサーバから落ちてきた際に、検証を行おうとしてもサーバ認証ではG1ルート証明書は使えないため、SSL通信(ブラウザのURLでhttps://で始まるもの)が失敗し、エラー画面が出てしまう可能性があります。
影響先
これもPDFがわかりやすいです。
一般的に一番利用されているサーバ認証はブラウザとインターネットを経由したWEBサーバとのhttps通信だと思い込んで、簡単に抜粋してみる。
サーバ側
クロスルート証明書を送出しているか確認してみてください。
個人的に推しているSSLLABSさんを利用させてもらって、G1にチェインしている証明書をクライアント側に送っているかを確認する流れを書いておきます。
https://www.ssllabs.com/index.htmlへアクセス
右上のTestYourSeverを選択
Hostname:欄に調べたいWEBサイトのFQDNを入力し、submit
(2〜3分待つと結果が表示されると思います)
Additional CertificatesにG1に証明されている証明書が落ちてきているかを確認
こんな風にIssuerって欄に書かれていたらそうです。
Issuer VeriSign, Inc. / Class 3 Public Primary Certification Authority
MS社側告知
現在ではまだないみたいですね。
aka.ms
*1:コメントにてご指摘いただき、類似→同様という表現に変更しました。ありがとうございます。
*2:SMIME署名機能をG1証明書のオプションから OFFにする設定を配布していた。https://knowledge.symantec.com/jp/support/securemail-id-support/index?page=content&id=ALERT1958&actp=LIST&viewlocale=ja_JP
*3:クロスルートとは https://jp.globalsign.com/support/faq/431.html
*4:インターネットを介しての配布なので影響が始まる時間と考えた方が良い。実際は、ユーザ次第。