Symantecの証明書問題私的まとめ

Symantecの証明書でアレコレざわついているので、自分用にまとめます。

経緯等

以下にまとまっていまるので省略。

notchained.hatenablog.com

何がおこるか?

https://github.com/sleevi/explainer/blob/master/README.md

ざっくりまとめると以下の2点

  • 該当の証明書の有効期限を短いモノとして取り扱う(最終的には最大279日とみなす)
  • 該当の証明書はDomain Validatedとして扱う(EV証明書がEV証明書として扱われなくなる)

「該当の証明書」って?

https://chromium.googlesource.com/chromium/src/+/master/net/data/ssl/symantec/README.md

  • 証明書チェーンのルートCAの証明書が ここになければセーフ
  • subCAで発行した証明書の場合、それが"Excluded Sub-CAs"に記載されていればセーフ
  • それ以外はアウト

もっと具体的には?

個人的観測範囲で使われていて、該当するCAは以下

3/27くらいからChromeでEV証明書がEV証明書として扱われなくなったんだけど?

WindowsChrome 57では現象を確認できたが、MacChrome 57では確認できず。

経緯は以下

斜め読みしたカンジでは、"Symantecに激おこ事案"とは無関係の単なるバグか?
# タイミング悪すぎやろ。。。

どうすればいいの?

今後どう転ぶかわからないし、巻き込まれたくないならSymantecVeriSignのEV証明書をつかってるトコは、他社に乗り換えればいいと思う。

EV証明書じゃないなら、有効期限が短くなるだけといえば、それだけなので運用回避もアリかと。

私見

Symantecはギルティでも、Symantec発行の証明書を使ってるトコまで巻き込まれるのはツライ。

ただひたすらツライ。

5/2追記

まだちゃんと読んでないけど、リンクだけ

security.srad.jp