サーバSSL証明書がWebブラウザに信頼されるまで
4月 3日 @ 22:00 ~ 23:00 主催:snowoy
資料
講演資料メモここから
今日話すことと話さないこと
話すこと
- シマンテック証明書問題について軽く
- ブラウザでの証明書情報の確認について
- その他質問があれば
話さないこと
- SSL/TLS自体についての説明
- 暗号化形式についての説明
- FTPSとかPOP3SとかSMTPSとか
- Webブラウザを介さないHTTPS通信とか
シマンテック発行の証明書が使えなくなる?
どうしてこうなった?
- Googleのブログより https://developers-jp.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
- Firefoxも追随しました https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/
- 元の投稿を英語で追いかけると面白いかも? http://notchained.hatenablog.com/entry/2017/03/27/090554
- 他の認証局もポカをやらかしていたりするのですが、Symantecは2度目だったのがGoogleの中の人の怒りに触れた模様
- Mozillaも追随するらしい
- ちなみにMozillaはMozillaでGPKI問題が今(個人的に)Hotなのですが、それは時間があったら http://yumetodo.hateblo.jp/entry/2018/02/28/232939
- ChromiumはブラックリストになったCAがここで見られます https://chromium.googlesource.com/chromium/src/+/master/net/data/ssl/blacklist/
Webブラウザ側での確認方法
普通に確認するにはブラウザの鍵マークをクリックすればおk
認証局提供のサイトから確認する方法
例えば
https://www.digicert.com/help/
OpenSSLコマンドで確認する方法
証明書の有効期限が短くなった話
- 昔は有効期間3年
- 今は2年までしか買えなくなってますよ
- 有効期限は1年にしよう、という提案もされましたが、今のところ却下されました
講演資料ここまで
講演
前置き:なんで今日この話をしたの?
細かくは以下参照ですが、Symantecの証明書が使い物にならなくなってしまうから。
Chrome が Symantec の証明書に対する信頼を破棄する予定について
なんかSymantecは前科持ちで2回目だったからGoogleが切れたらしい。
Google Developers
ChromeがSymantecの証明書に対する信頼井を破棄する予定について
抜粋:
『Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのさまざまなブランド名で一連の認証局を運用している Symantec の PKI ビジネスは、業界が策定した CA / ブラウザ フォーラム ベースライン要件 に準拠していない証明書を多数発行していました。』
Technically, technophobic.
Symantecが再びGoogleの信頼を失った件についてのメモ
開発者用ブラウザの紹介
-
Chrome Canary 通常版のGoogle Chrome とは別に、開発者向けの最新版Chrome「Canary edition 」があり、独立してインストール・起動させ最新バージョン(Chrome67~)の挙動を確認できる。
-
FireFox Devloper edition こちら からDL可能。
証明書の種類について
- ドメイン認証型(DV)
- 実在証明型(OV)
- EVタイプ(EV)