Symantecの証明書問題私的まとめ
Symantecの証明書でアレコレざわついているので、自分用にまとめます。
経緯等
以下にまとまっていまるので省略。
何がおこるか?
https://github.com/sleevi/explainer/blob/master/README.md
ざっくりまとめると以下の2点
- 該当の証明書の有効期限を短いモノとして取り扱う(最終的には最大279日とみなす)
- 該当の証明書はDomain Validatedとして扱う(EV証明書がEV証明書として扱われなくなる)
「該当の証明書」って?
https://chromium.googlesource.com/chromium/src/+/master/net/data/ssl/symantec/README.md
- 証明書チェーンのルートCAの証明書が ここになければセーフ
- subCAで発行した証明書の場合、それが"Excluded Sub-CAs"に記載されていればセーフ
- それ以外はアウト
もっと具体的には?
個人的観測範囲で使われていて、該当するCAは以下
3/27くらいからChromeでEV証明書がEV証明書として扱われなくなったんだけど?
WindowsのChrome 57では現象を確認できたが、MacのChrome 57では確認できず。
経緯は以下
- https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=INFO4287&actp=RSS&viewlocale=ja_JP&locale=ja_JP&redirected=true
- https://bugs.chromium.org/p/chromium/issues/detail?id=705285
斜め読みしたカンジでは、"Symantecに激おこ事案"とは無関係の単なるバグか?
# タイミング悪すぎやろ。。。
どうすればいいの?
今後どう転ぶかわからないし、巻き込まれたくないならSymantecやVeriSignのEV証明書をつかってるトコは、他社に乗り換えればいいと思う。
EV証明書じゃないなら、有効期限が短くなるだけといえば、それだけなので運用回避もアリかと。
私見
Symantecはギルティでも、Symantec発行の証明書を使ってるトコまで巻き込まれるのはツライ。
ただひたすらツライ。
5/2追記
まだちゃんと読んでないけど、リンクだけ