証明書について

証明書というのはもちろんサーバーのことですがこれが最近問題なのです。
このサイトの認証局は”StartCom Certification Authority”(2016/12現在)なのですが、ご存知の通りいつの間にかWoSignに買収され、WoSignとともに数々の失態を犯してきたようです。SHA1の証明書を業界基準を超えて発行するために日付を偽装して発行したりサブドメイン所有者がRootドメインの証明書取れたり…

余談ですが中国ではWinXP-SP2なPCが山ほどあるのでSHA1証明書使えなくなったらIEでサイト見れないからどうにかしてほしいといわれ日付偽装したらしいですが、中国も大変ですね。

MozillaはWoSign&StartComが新たに発行する証明書を信頼しないようにする方針のようです。この変更はFirefox 51(おそらく正式版、というかDevはすでに51超えてるしカレンダーには2017-01-24とあるので来年かな)に適用されます。つまり、2017-03以降のいつかにWoSign&StartComが信頼済み認証局から外されることになります。これは両社の新証明書への移行プランによっては調整するとあります。(出典: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/)

Appleも何等かの対策を講じ、Googleも続くのではないかと思います。WoSign&StartComの大きな株主がQihoo 360でこれまた中国のセキュリティ会社です。無料のウイルス対策ソフト出してるところですね。ここがマイクロソフトと提携してるのでIE&Edgeがどう出るか知りませんが…

このサイトの証明書は10月以前に発行されたので直ちに影響を受けるものではありませんが、いずれ影響を受けるでしょう。
よってLet’s encryptにしてみるのというのも手ですが最近は格安で日本製のSSLが取れるようなのでこれを買うのもいいかもしれません。

ちなみにStartComのアカウントは消せません(7年間保存されるとどこかにあった気が)。これはセキュリティ対策だとか。まあ仕方ないですね。