Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サーバ証明書、最長でも約13カ月 - 毎年更新が必須に

しかし2020年に入り、Appleが「macOS」や「iOS」のルートCA証明書において、同年9月1日以降に発行されたサーバ証明書で398日を超えたものについては信頼しないとする方針を2月のCAB Forumで表明。これを皮切りに、「Chrome」を提供するGoogleや、「Firefox」を提供するMozilla Foundationなども6月に同様の方針を示した。

現状は、あくまで各ブラウザベンダー独自の決定であり、CAB Forumのガイドライン「Baseline Requirements(BR)」の改定には至っていない。

しかし、主要ブラウザベンダーではガイドラインの改定に関わらず、独自に短縮化することを決定しており、期限を経過した証明書を信頼せず、対象となるブラウザから接続できなくなるおそれもあることから、長期証明書の利用は非現実的だ。

ブラウザベンダーの動きを受け、GMOグローバルサインやサイバートラスト、エントラストジャパンなど証明書を発行する認証局も「BR」の改定を待たずに、従来提供してきた有効期限2年間のサーバ証明書について終売を決定している。

8月末までに発行された有効期限2年間の証明書は影響を受けないとされているが、9月以降に再発行した場合は対象となる可能性も指摘されている。また利用者によっては今後更新頻度が増加するため、更新漏れなど生じないよう注意が呼びかけられている。

(Security NEXT - 2020/07/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

市サイトで送信した画像が閲覧可能に、マイナンバーなども - 佐賀市
複数自治体で新型コロナ患者情報の誤送付が発生
「PAN-OS」に情報漏洩など複数脆弱性が判明
個人情報関連ミス、12月前後の1カ月で17件 - 大阪市
「特別定額給付金」フィッシング、実際に誘導されるケースも
ふるさと納税の受納証明書600人分を別人へ誤送付 - みやき町
ふるさと納税関連書類を誤送付、封入ミスで - 雨竜町
生活保護受給者の複数記録簿が所在不明 - 八尾市
正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用
「Docker API」狙う攻撃に注意 - 9月ごろより増加