証明書について


証明書というのはもちろんサーバーのことですが、これが最近問題なのです。
このサイトの認証局は”StartCom Certification Authority”(2016/12現在)なのですが、ご存知の通りいつの間にかWoSignに買収され、WoSignとともに数々の失態を犯してきたようです。SHA1の証明書を業界基準を超えて発行するために日付を偽装して発行したりサブドメイン所有者がRootドメインの証明書取れたり…ホェ~って感じですね(表現力不足)。
余談ですが、中国ではWinXP-SP2なPCが山ほどあるのでSHA1証明書使えなくなったらIEでサイト見れないからどうにかしてほしいといわれ日付偽装したらしいですが、中国も大変ですね…大量の最新PCを生産してるのに国民の大半はそれを使えないとはね…
さてMozillaはWoSign&StartComが新たに(2016-10-21以降かな?)発行する証明書を信頼しないようにする方針のようです。この変更はFirefox 51(おそらく正式版。というかDevはすでに51超えてるしカレンダーには2017-01-24とあるので来年かな。)に適用され、2017-03以降のいつかに
WoSign&StartComが信頼済み認証局から外されることになり、これは両社の新証明書への移行プランによっては調整するとあります。
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/から出典(訳が間違ってたら、教えてくださるとうれしいです。)

さてさて、Appleも何等かの対策を講じ、Googleも続くのではないかと思います。2社の大きな株主がQihoo 360でこれまた中国のセキュリティ会社です。無料のウイルス対策ソフト出してるところですね。ここがマイクロソフトと提携してるのでIE&Edgeがどう出るか知りませんが…まあこの二つのブラウザは使う気もなく自分のサイトが動作するかもわからないので(個人サイトだから言えること…)知ったこっちゃありません。さてこのサイトのは10月以前に発行されたので直ちに影響を受けるものではありませんが、いずれ影響を受けるでしょう。
今後永遠に使えなくなるわけではない様ですが、上に立ってるのが正直大丈夫なのか疑わしいレベルです。よってLet’s encryptにしてみるのというのも手ですが最近は格安で日本製のSSLが取れるようなのでこれを買うのもいいかもしれません。こんなサイトに不似合いですが。
ちなみにStartComのアカウントは消せません(7年間保存されるとどこかにあった気が)。これはセキュリティ対策だとか。まあ仕方ないですね。

投稿者:

PG_MANA

自由気ままな自称プログラマー。C,C++,Rust,C♯,HSP,JavaScript,PHP,HTML,CSS,OS自作,openSUSE,ラノベ,アニメ,鉄道 なんか色々してる人 #seccamp 2017

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です