adtech studio

Google ChromeにおけるSymantec系サーバ証明書の扱いについて

hajime By hajime

セキュリティ

はじめに

 こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。
前回は、「AWSにおけるセキュリティグループ整理術とScout2」について、書かせていただきました。
今回は、「Google ChromeにおけるSymantec系サーバ証明書の扱いについて」書かせていただきます。

 

 近年、スマホアプリやWebブラウザのセキュリティ強化によりhttps通信(暗号化通信)が必須の時代になった来ました。
今までは「お問い合わせなどの個人情報を取り扱うページ」だけをhttps化すれば良しとされてましたが、現在では、サイト全体をhttps化にするサイトが多くなってきてます。

理由としては、サイトのセキュリティ強化はもちろんですが、、、

1,Google検索結果の順番に影響

and we also started giving a slight ranking boost to HTTPS URLs in search results last year.

引用元: https://webmasters.googleblog.com/2015/12/indexing-https-pages-by-default.html

2,Apple ATS

improves user security and privacy by requiring apps to use secure network connections over HTTPS.

引用元: https://developer.apple.com/news/?id=12212016b

などにより、https化した方がいい状況が迫ってきてます。

 

 そんな中、Symantec系サーバ証明書(Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなど)が Google Chromeの次期バージョンでサーバ証明書が有効期限内であっても、警告・エラーにするというニュースが飛び込んできました。

 

 Google ChromeとSymantec系サーバ証明書の間に一体何が起こったのでしょうか。

Google Chromeチームの言い分:

This is also coupled with a series of failures following the previous set of misissued certificates from Symantec, causing us to no longer have confidence in the certificate issuance policies and practices of Symantec over the past several years.

引用元: https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ

 

Sytemtec側の言い分:

私たちの証明書発行業務ならびに過去の不適切な発行の影響範囲に関するGoogle社のステートメントは誇張されており、誤解を生じさせるものです。例えば私たちが3万枚の証明書を不適切に発行したとするGoogle社の主張は事実ではありません。Google社が言及する事象では、3万枚ではなく、127枚の証明書が不適切に発行されましたが、消費者に被害は及んでいません。

引用元: https://www.symantec.com/connect/ja/blogs/symantec-backs-its-ca-0

 

両者ともはっきりとした意見を述べてます。

 

ブラウザとサーバ証明書シェア

 ブラウザのシェアを確認してみると、世界的にも日本でもGoogle Chromeのシェアはとても高いという結果が出ています。

 

Webブラウザシェアランキング(2017年9月):日本国内

参考: https://webrage.jp/techblog/pc_browser_share/

 

Webブラウザシェアランキング(2017年9月):世界

参考: https://webrage.jp/techblog/pc_browser_share/

 

 サーバ証明書のシェアを確認してみると、Symantec系サーバ証明書のシェアは上位であることがわかります。

参考:
https://w3techs.com/technologies/overview/ssl_certificate/all
http://www.securityspace.com/s_survey/data/man.201609/casurvey.html
https://www.netcraft.com/internet-data-mining/ssl-survey/

 

 このように利用者が多いので、影響範囲は大きいと考えられます。

 私もGoogle Chromeを仕事でもプライベートでも愛用してるので、影響受けることになります。

 アドテクスタジオでも少なからずSymantec系のサーバ証明書を利用しているので、影響を受けます。

 アドテクスタジオのサービスは広告関連サービスになりますので、このような影響を受けやすいです。

 

 そこで、どのような条件の場合にサーバ証明書が警告/エラーになるかをわかりやすく図に整理してみました。

参考:
http://news.valuessl.net/?p=1702
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=SO29553&locale=ja_JP&redirected=true

 

 注目するところは、

・サーバ証明書の発行日が2016/5/31以前か以降か

・サーバ証明書の有効期限とGoogle Chrome66と70のリリース時期

がポイントになります。

 

 最終的にGoogle Chromeは2017/12/1以降にSymantecとDegiCertの統合されたシステムから発行された証明書のみ有効にするそうです。

参考: https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html

 

おわりに

 アドテクスタジオでも少なからずSymantec系のサーバ証明書を利用しているシステムがあります。

 今回の件で、サーバ証明書の警告・エラーが出るようになると広告がGoogle Chromeブラウザで正常に読み込まれない可能性があります。

 現在アドテクスタジオでは順次サーバ証明書の置き換えを行っています。

 

 今回の事象は今後二転三転する可能性があるので、常に情報を追いかけて行きたいと思います。