Symantec CAのSSL利用者に対してGoogleは警告を表示することを発表

先日、10月リリース予定のChrome62から非HTTPSのページに警告が表示されますという記事を書いて、HTTPS化してないサイトは今後警告が表示されるよ!と、言ったばかりなのですがGoogleから続報が出ました。

Chrome が Symantec の証明書に対する信頼を破棄する予定について

結論から言うと、Symantec社が提供しているSSL(HTTPS化に必要な証明書)の使用は控えてね!といった内容です。

自分のSSL証明書はどこのを使っているのかを確認する方法

多くの人が、「そんなこと言われても、自分のSSLどこで発行したか覚えてないわ!」って言うと思います。
なので、自分のサイトがどこのSSLを使っているのかを確認する方法を先に書きます。

使用環境:PC
使用ブラウザ:Chrome

まず、サイトを開いて「F12」ボタンを押します。

すると、下記のような画面になるので、そこでsecurityをクリックします。

そうすると、右にsecurityの詳細を見るボタンが現れます。

これをクリックすると、どこのSSLを利用しているのかが分かります。

この部分がSymantec、Thawte、VeriSign、Equifax、GeoTrust、RapidSSL云々になっていなければ、おそらく大丈夫です。

なぜ、SymantecのSSLは安全ではないのか

Symantecというと、セキュリティソフトの有名なところです。
大企業でも利用しているところは多数います。

今回の騒動はSymantecが全て悪い!というわけではなく、SymantecがSSLの作業を委任している様々な組織で「Symantecの監視抜きでSSLが発行できる環境に合り、かつセキュリティに不備があった」ことを長年黙認していたことが問題になっています。

日本人の政治家がよく言う「私の預かり知らぬ所で」ってことを言わないのは欧米らしいですね。

Symantecは今後、SSLの作業をすべて「DigiCert」という組織に一任し、SSL事業をすべて譲渡することを宣言しています。

SSL化が簡単になりすぎて、ほんとうにセキュリティが維持されているのか?というのはたまに話題になることですが、こうして明るみに出てGoogleがしっかりと発言したのは良いことですね。

みなさんも、自分のサイトのSSLを見直しましょう。

【追記】

レンタルサーバーのさくらインターネットも再発行に対応するそうです。
【重要】シマンテック社SSLサーバー証明書に関する再発行対応について

スポンサーリンク

ABOUTこのブログを書いている人

いくつになっても生魚が食べられない20代。焼き魚は大好き。 SEO会社で働いており、コンテンツマーケティングを担当。 記事も書けて、ディレクションも出来るWebディレクターを目指してます。