SSL/TLS証明書、9月1日以降の発行分は有効期間が実質1年間に。主要ブラウザの仕様変更で 36
ストーリー by nagazou
ゴールド免許廃止みたいな 部門より
ゴールド免許廃止みたいな 部門より
あるAnonymous Coward 曰く、
2020年9月1日以降、Chrome、Safari、Firefoxといった主要ブラウザで、SSL/TLS証明書の有効期限が最大13か月間(398日間)に制限される(マイナビ)。変更された経緯は過去記事にもあるように、2020年3月3日にAppleが発表した方針に、GoogleやMozillaも同調、各ブラウザが有効期限を最大398日間にする方針を固めたことにある。
これまでは最大825日間(約27か月間)だったが、2年以上も期間、証明書の所有者の会社名や氏名などの情報が更新されないことになり、セキュリティ上の問題があったとされる。13か月と1年より少し長いのは更新に猶予を持たせるためで、SSL/TLS証明書の有効期間は事実上は1年間という考えであるという。今回、実質的に1年間に制限することにより、SSL/TLS証明書に問題が発見された場合の対応がしやすくなるとしている。
2020年9月1日以降に発行されるSSL/TLS証明書では、398日を超えたものに関しては事実上使い物にならなくなるという。ちなみに9月1日以前に発行されたものに関しては、このポリシーは適用されないそうだ。
証明書更新作業 (スコア:0)
発行機関から「期限切れますよメール」受け取って手動更新する運用は実質的に破綻してるってこと。
今は人手を介さなくても更新できるLet's Encryptが正義だと思う。
Let's Encrypt は商用サイトでは使い物にならなくなったんだが (スコア:0)
今は人手を介さなくても更新できるLet's Encryptが正義だと思う。
Let's Encryptの証明書がAndroid 7.1より前で信頼されなくなることで、もう商用サイトでは事実上使用不可になった。
https://www.zaikei.co.jp/article/20200812/580387.html [zaikei.co.jp]
ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。
例えばさくらのレンタルサーバは「暫定的な対策として、現行のIdenTrustのルート証明書のままサーバー証明書を発行できるオプション」を使用するとの
Re: (スコア:0)
その古いAndroidを使う層はサイトやアプリが見れなければもう諦めるか別の方法を探すだろうし合わせる価値はないよ
Re: (スコア:0)
何言ってるんだろう
例えば、月200万円のコンバージョンのサイトで、ユーザの1割を切り捨てたとする。すると、月20万円、年240万円の損失になる。
もっと小規模な個人運営の月10万のコンバージョンのアフィリエイトサイトであっても、年120万円の1割で年12万の損失になる。
有料サーバ証明書なんて年1000円で買えるので、買った方が得だろう。
> もう諦めるか別の方法を探す
他の方法に他社のサイトを使う、が含まれる以上、ビジネスとして使い物にならないという結論は変わらない。
Re:Let's Encrypt は商用サイトでは使い物にならなくなったんだが (スコア:2)
Let's Encryptを使ってるところはそれ以外の手段を知らないところもありそう
誰に頼めばいい?ってレベルから
もちろん外注しても売上から考えたら得だが精神障壁になりそう
Re: (スコア:0)
それは「Android 7.1未満を使っている客が貧困層に集中したりはしていない」という前提ですよね
Re: (スコア:0)
そんな古いバージョンのAndroidに固執している接続者(あえてユーザとは言わん)がどれくらいの売り上げに相当しているのか精査してみた事はあるか?
Re: (スコア:0)
新しもの好きの若者よりも、古いスマホを使いづづけているお年寄りの方がお金持ってたりするんだよ?
精査にかかる人件費よりも有料証明書の購入費用の方が安いから精査はしてないけどね
Re: (スコア:0)
それが、ガラケーを使い続けているお年寄りの方がお金を持っていたとしても、WebサーバーをあえてSSLに対応させると言うことにはならないでしょう。
Re: (スコア:0)
利用者のブラウザUA情報からAndroid 7.1未満のユーザ数が何パーセントいるのか、を調べることすら「精査」になるのか
Re: (スコア:0)
そのレベルでいいなら、#3874241 の
「ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。」
で結論出てますよね。
「どれくらいの売り上げに相当しているのか」というのならば、UserAgent と売上を関連付けなくてはならない。つまりはショッピングカート等のシステム改修まで必要になるんですが。
普通に最低でも数十万円かかる案件ですよ。そんな精査をするぐらいなら証明書買った方が安いでしょ。
Re: (スコア:0)
これ、最終的にはAndroid側が対応せざるを得なくなると思う。
特にキャリア経由で販売したものはルート証明書更新のアップデートが配布されることになるかと。
切り替えが延長されているのは、時間稼ぎさせてくれといった要望があまりにも多かったんじゃない?
それでも対応しきれなくなればLet's Encrypt側にカネ払ってでも土壇場で延長してくれって
申し出てくる業者が現れるよ。
Re: (スコア:0)
延長したところでDST Root CA X3の期限が2021年9月30日だからその期限は絶対突破できないけど。
Re: (スコア:0)
カネで解決を狙う場合は別のルート証明機関を手配するとか手段はあるよ。
Re: (スコア:0)
無料を憎悪する証明書ビジネスマンが湧いてきたな
Re: (スコア:0)
商用なら金払えよと。タダより安いものはないという言葉があるし。
タダじゃなきゃヤダヤダ許さないとぬかす事業者は大抵ろくなもんじゃないので滅ぼすべき。
Re: (スコア:0)
商用で金払うものの方が時間も手間もかかるってどんなギャグかと
タダかどうかより手続きの煩雑さを嫌ってるんだよ
Re:Let's Encrypt は商用サイトでは使い物にならなくなったんだが (スコア:1)
// 「やや」という程度にしても
Re: (スコア:0)
DV証明書に関しては全く壁にならんけどな。
むしろ機械的なチェックで発行する方がソーシャルエンジニアリングが防げる。
Re: (スコア:0)
証明書の自動更新を目当てにAWSのALB/ELBを使うところも少なくないと聞く。
省庁の多くは1年超だけど、大丈夫かな? (スコア:0)
首相官邸 (2019/7/31〜2021/08/31) [kantei.go.jp] や 内閣法制局 (2019/02/04〜2021/04/06) [clb.go.jp] 財務省 (2019/09/17〜2021/09/17) [mof.go.jp] など、2年ってところが多いようですが、大丈夫なんですかね?
Re: (スコア:0)
ちなみに9月1日以前に発行されたものに関しては、このポリシーは適用されないそうだ。
ストーリーくらい読みましょう。
尻に火が付かないと作業しない (スコア:0)
というよりギリギリまで粘って2年更新してやろうと目論んでいたら、うちの使ってるCAは8/17で2年証明書の発行をやめていた [fujissl.jp]でござる
なんだかよくわからないけどヨシ! (スコア:0)
所有者の会社名や氏名をろくに確認もしない、手続きが楽ちんな認証局が人気を博すも
ある日それがバレて各ブラウザにおけるプリインストールされたルート証明書から排除される事件が起きたりして
Re:なんだかよくわからないけどヨシ! (スコア:1)
ルート証明書となったら、3年前に適当に発行した奴が、 [security.srad.jp] 失効した時 [security.srad.jp]より騒ぎになるね。
Re: (スコア:0)
所有者の会社名や氏名をろくに確認もしない、手続きが楽ちんな認証局が人気を博すも
Domain Validation証明書なら、それが許されていますよ。そもそも問題ありません。
全然分かってない人だけど、なんでセキュリティの問題? (スコア:0)
EV証明書とか年10万円以上掛かるが、HTTPSにして経路暗号化するだけで
「情報が更新されないことになり、セキュリティ上の問題」という話が
全然理解できない。長い期間だと総当りで暗号化解読されてしまうという
話なんだろうか?無料もあるけど、大手企業がやると利益誘導にも見える
Re: (スコア:0)
電子証明書の役割は、経路暗号化と、意図した通信相手であるかという2点。
ログインパスワードやクレジットカード情報を送信する際は、経路が暗号化されているだけでは不十分で、通信相手が信頼に足るかどうかを証明書の情報で確認する必要がある。
ところが、世界中で毎年ごまんという数の組織が変更や解散をしている中で、証明書の情報が古いままだと、意図した通信相手かどうかの判断ができない。
そういうのが増えるとPKIとしての信頼が揺るぎかねない。
Re: (スコア:0)
つまり短縮はEV証明書以上の信用のある証明書だけで十分って事では。
ドメイン証明書なんてドメイン取ればどうとでも取得できるし。
Re: (スコア:0)
SHA-2への移行にやたら時間がかかった理由の1つがやたらに有効期限の長いSHA-1証明書の存在
86400秒=398日? (スコア:0)
算数ができないアップルの仕様を追随するか・・・
アップル「398 日は、86,400 秒を日数に換算した数値です。」
ttps://support.apple.com/ja-jp/HT211025
ttps://support.apple.com/en-us/HT211025
Re: (スコア:0)
Re: (スコア:0)
かと、っていうかまんまそういう話でしょ。
何のために英語版があると思ったんだ?
Re: (スコア:0)
言いたいことがあるならはっきり言うといいよ
どこを読んでどう思ったんです?
Re: (スコア:0)
タイトル見れば#3875197が勘違いしていると分かりそうなものだけど。
オレオレも? (スコア:0)
うへえ。
#とはいえむしろ悪いのはここかも