パスワードを忘れた? アカウント作成
14121050 story
インターネット

Safari、SSLサーバー証明書の有効期限を最大13か月間に短縮へ 29

ストーリー by hylom
サーバー管理者としては手間が増える感じに 部門より

AppleのSafariブラウザで、HTTPSで使われるサーバー証明書の有効期限を最大13か月間(398日間)に制限する変更が行われるとの話が出ている(ITmediadigicertApple Magazine9to5Mac)。セキュリティ強化が目的。

サーバー証明書の有効期限はかつては39か月間だったが、2018年3月からは業界内の自主規制で最大825日間(約27か月間)に短縮されている。一方でAppleやMicrosoft、Googleなどは有効期限をより短くしたい意向を示していた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年02月26日 15時04分 (#3768766)

    EV証明書以外ではクレジットカード情報など、機微のある情報を入力しないよう
    メッセージを表示するとかしろよ。Amazonは死ぬかもしれないけど。

    • by Anonymous Coward

      EV証明書にそんな深い意味はないよ。知ってるドメインならDVで充分。

      ドメインは知らないけど運営会社は知ってるっていうならEVが要る。
      アマゾンは知ってるけどamazon.co.jpが正しいのか分からない人をターゲットに商売するならEVが要る。
      それだけのこと。

      脳死でEV取ってもそりゃいいけど、無駄だよね。

      • by Anonymous Coward

        だからChromeもFirefoxもEVを特別扱いしなくなった

        • by Anonymous Coward

          そうじゃねえよ。
          世の中の大半の人が、ドメインや証明書の確認なんかしないから、
          EV証明書を目立つようにしても効果が無いと考えただけだ。

          で、そういう層に対して、「クレジットカード情報などを入力する
          場合はアドレスを確認するようにしてください」なんてのが
          まともな方法だと思うか? EV証明書以外では警告を出すようにすれば、
          すくなくともフィッシング詐欺グループに対するハードルは、少なくとも
          今よりは高くなる。

          • by Anonymous Coward on 2020年02月27日 20時00分 (#3769549)

            違うよ。EVの組織名を表示してもどこぞの国で "Amazon.co.jp Ltd" という会社を立ち上げてEV証明書をとればはいフィッシングサイトいっちょ上がりになるから組織名の表示をやめたんだよ。

            親コメント
          • by Anonymous Coward

            EV以外で警告が出るならごく一部の銀行とかのサイト以外は警告がバンバン出てくるわけで…
            そんな頻繁に出てくる警告は無視されるようになるだけだから何の解決にもならないのでは

          • by Anonymous Coward

            証明書の確認なんかしないって自分で言ってるのに……支離滅裂だと思わないんだろうか
            警告メッセージも目立たせるほど偽セキュリティ警告の広告がますます捗るだけで有害

  • by Anonymous Coward on 2020年02月26日 16時15分 (#3768826)

    証明書が資産ではなく消耗品になるので困る?

  • by Anonymous Coward on 2020年02月26日 16時35分 (#3768840)

    自宅サーバや社内サーバに、セルフサインやオレオレ認証局でサインした
    2038年まで有効な証明書を使ってる人は多いのでは?

    そういったのが使えなくなると面倒

    • by Anonymous Coward

      サーバ側は Let's Encrypt とかを使いなよ
      無料のものなんか信じられるか、というならSectigoやAlphaSSLとか安いのがあるぞ
      クライアント証明書側は一考が必要だけど

      • by Anonymous Coward

        プライベートなネットワークだとLet's Encryptも使えんだろ。

        • by Anonymous Coward

          ドメイン持っててDNSいじれるなら使える。

    • by Anonymous Coward

      「ExchangeのほとんどのユーザーがOffice365に移ったから、タイミング的に今!」ってことなんでしょうな
      うちはオンプレで今2年で発行してるんだけど、新しいテンプレ用意するかな...

      #ルート証明書も今後このルールに当てはめるつもりなら発狂もの

    • by Anonymous Coward

      有効期限が短いお陰で気づかれないまま2038年直前で問題が爆発したりして

      流石に証明書の2038年問題は解消したのかな?

    • by Anonymous Coward

      オレオレサーバー証明書はiOS10だかで、使えなくなったのでは?

      クライアント証明書(こちらは本質的にオレオレ一択)と一緒に、
      オレオレサーバー証明書の公開鍵もプロファイルに混ぜていたら、
      iOSアップデートで使えなくなり、
      私物のMAC MINIを会社に持ち込んだりして、ログを出させたら、
      サーバー証明書がだめだとか言われて、

      結局、買った証明書(DNSサーバー認証の安い方)にして、
      プロファイルは、クライアント証明書のみとなりました。

      • by Anonymous Coward

        iOS10以降でもオレオレサーバー証明書使えますよ。
        ルート証明書をメールかなんかに添付して、証明書プロファイルとしてインストールすればいい。
        その後に[設定]>[一般]>[情報]>[証明書信頼設定]で許可すると使えるはず。

        それで使えない場合はRSA2048bit以上またはSHA2(SHA-256)以上になっていない証明書を使っているパターン。
        (SHA-1のオレオレルート証明書はiOS13で一律で信頼されなくなりました)

    • by Anonymous Coward

      リンク先読みましょう。

      公的に信頼されていない証明書は、最大825日の有効期限まで利用できます。

  • by Anonymous Coward on 2020年02月26日 20時00分 (#3768944)

    iOS版のSafariでSSLサーバー証明書が確認できるようにしないんでしょうか?

    • by Anonymous Coward

      下々の者はApple(の選定するルート証明書)だけを信じればいいという一神教

  • by Anonymous Coward on 2020年02月26日 23時23分 (#3769044)

    それで最近3年の証明書買えなくなってたのね。
    1年しか買えなくなると管理が超面倒だな

    • by Anonymous Coward

      Let's Encryptみたいな自動更新の仕組みがあればいいだけじゃない?
      管理なんてしないよ。

      • by Anonymous Coward

        それもできないMicrosoft(teams)なんて・・・ぽいずん

      • by Anonymous Coward

        テスト環境とかだとそれでもいいし、実際そうしてますが、本番環境だとがちがちにポート閉じるのでポート80をフルオープンにしないといけないLet's Encryptはお客さんに許可してもらいにくいんですよねぇ。

        • by Anonymous Coward

          DNS経由の方で認証すればポート開ける必要なさげ。

    • by Anonymous Coward

      そう?
      年次の定例作業になるから管理側としてはスケジューリングしやすいと思うけど

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...