2016年10月21日以降に発行されたStartSSLの無料証明書は無効

  • 3
    いいね
  • 1
    コメント

いきさつ

中国のWoSign及び傘下にあるStartComが不正な証明書を発行していた問題で、MozillaやGoogle等から今後はこの二社によるルート証明書を削除し拒否するという発表が昨年10月にありました。

SSLの無料証明書ではStartComが提供するStartSSLの証明書が人気でしたが、この措置により新規に発行して使用することが出来なくなります。

これらルート証明書が実際にブラウザから削除されるのは、Firefoxではバージョン51、Chromeではバージョン56以降とのことですが、共に正規リリースされたようですので実際に新規発行したStartSSLの証明書を用いたサイトを用意し、動作確認を行いました。

Firefox(51.0.1)

sc03.png

予告通り証明書が無効になっておりアクセスが出来ません。

Chrome(56.0.2924.76)

sc02.png

ChromeではFirefoxに比べ、攻撃者の悪意への警告の意思を強く感じます。

Safari(10.0.3)

sc01.png

Mac版Safariでも確認しました。
やはり証明書が無効となりアクセスが出来なくなっています。
証明書の詳細を確認するとこのように上位階層の証明書が無効になっていることが確認できます。

まとめ

発表通り、主要ブラウザで証明書が無効になりアクセスできないことが確認できました。
無効になるのは以下の条件を満たした場合です。

  • 2016/10/21 00:00:00 UTC 以降に発行された証明書であること
  • Google Chromeではメジャーバージョン番号56以降
  • Firefoxではメジャーバージョン番号51以降

その他のブラウザにおいてはどのバージョン以降無効とされているのか不明ですが、Safariのように最新バージョンで既に無効化されているか近々無効にされるかのどちらかであると思われます。

なお、無料証明書では他にLet’s Encryptが存在します。
ただ、こちらは証明書の期限が3ヶ月と短くサーバー上での自動更新を前提とした仕組みになっているため、1年もしくは3年もの有効期限を持つStartSSLとは少し運用が異なりますのでご注意ください。

参考資料

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

https://support.apple.com/ja-jp/HT204132

https://support.apple.com/ja-jp/HT202858