Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サーバ証明書、最長でも約13カ月 - 毎年更新が必須に

しかし2020年に入り、Appleが「macOS」や「iOS」のルートCA証明書において、同年9月1日以降に発行されたサーバ証明書で398日を超えたものについては信頼しないとする方針を2月のCAB Forumで表明。これを皮切りに、「Chrome」を提供するGoogleや、「Firefox」を提供するMozilla Foundationなども6月に同様の方針を示した。

現状は、あくまで各ブラウザベンダー独自の決定であり、CAB Forumのガイドライン「Baseline Requirements(BR)」の改定には至っていない。

しかし、主要ブラウザベンダーではガイドラインの改定に関わらず、独自に短縮化することを決定しており、期限を経過した証明書を信頼せず、対象となるブラウザから接続できなくなるおそれもあることから、長期証明書の利用は非現実的だ。

ブラウザベンダーの動きを受け、GMOグローバルサインやサイバートラスト、エントラストジャパンなど証明書を発行する認証局も「BR」の改定を待たずに、従来提供してきた有効期限2年間のサーバ証明書について終売を決定している。

8月末までに発行された有効期限2年間の証明書は影響を受けないとされているが、9月以降に再発行した場合は対象となる可能性も指摘されている。また利用者によっては今後更新頻度が増加するため、更新漏れなど生じないよう注意が呼びかけられている。

(Security NEXT - 2020/07/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

入国者健康確認システムで不具合、他申請者からパスポートなど閲覧可能に
「Azure AD」に脆弱性 - 更新適用済みだが、利用者側で修正が必要となる場合も
「LIQUID eKYC」、「収入証明書」や「健康診断書」の撮影に対応
マイナンバー含む給与支払報告書を誤送付 - 横浜市
個情委、自治体などのマイナンバー取扱状況を調査 - HDD廃棄や委託なども
メール送信ミスでセミナー参加者のメールアドレスが流出 - 神奈川県
JIPDEC、JCAN証明書発行事業をGMOグローバルサインに譲渡
「CODE BLUE 2021」基調講演にデジタル庁CISOの坂明氏 - 会場限定セッションも
攻撃者狙う脆弱な「VPN」、導入や堅牢化のガイダンスを米政府が公開
2回目の「特別定額給付金」で誘導するフィッシングに注意