2025年4月15日、同一の秘密鍵の利用が15年を経過していることなどを理由に、「次のリリース」のGoogle Chrome, Firefoxの信頼されるルート証明書のリストから削除されることになった。
https://www.sectigo.com/resource-library/enhancements-to-root-ca-and-hierarchies
第一弾の対象となるのが、Comodoの管理する"AAA Certificate Services"だ。
聞き慣れないかもしれないが、なんとCloudflareで無料で提供される証明書のルートである。
5月に自動更新されたUniversal証明書も、このルート証明書に紐付く中間証明書によって発行されており、
現状、これを回避するには、月額200ドル以上のプランに加入して、自前のSSL証明書を持ち込むしかない状況だ。
既に、Firefoxの開発版では当該ルート証明書の信頼がされていないほか、
Pythonでお馴染みのcertifiの最新版でも信頼されていない。
そのため、Pythonを利用して作られたAPI連携などで、既に実害が発生している。
(原因不明のAPI疎通不良のため、SaaS会社に問い合わせたところ、本件が判明した)
このままだと、ある日時期リリースのChromeやFirefoxが正式版となった瞬間、
CloudflareのUniversal証明書を利用しているサービスは軒並み接続できなくなる恐れがあり、注意が必要。
既に、Cloudflareのコミュニティにも情報が上がっているが、現状Cloudflare側に動きはないため、今後の動向を注視する必要がありそうだ。
https://community.cloudflare.com/t/cloudflares-chain-root-ca-removed-from-todays-certifi-update/792978
EV SSL証明書の企業名表記がされなくなって久しい。見た目が変わらないならと各社の無料のSSL証明書に頼ることも増えているが、
こういうことがあると、やはり信頼できる証明書を独自で購入して管理も検討したい。