Chrome 57 以降で October 21, 2016 00:00:00 UTC より前に発行された WoSign/StartCom の SSL 証明書が無効化された話

2017 年 4 月中旬に Chrome 57 がリリースされました。一般に Chrome は自動更新されるので具体的なバージョン番号なんて意識してないと思いますが、このアップデートが適用されてから一部の StartCom 発行の SSL 証明書を利用するサイトが SSL エラーを吐くようになったので、それに関してまとめます。


Chrome は事前に October 21, 2016 00:00:00 UTC 以降に StartCom で発行された SSL 証明書を無効とする旨を発表していました。

Distrusting WoSign and StartCom Certificates - 2016/10/31
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
Beginning with Chrome 56, certificates issued by WoSign and StartCom after October 21, 2016 00:00:00 UTC will not be trusted. Certificates issued before this date may continue to be trusted, for a time, if they comply with the Certificate Transparency in Chrome policy or are issued to a limited set of domains known to be customers of WoSign and StartCom.
Due to a number of technical limitations and concerns, Google Chrome is unable to trust all pre-existing certificates while ensuring our users are sufficiently protected from further misissuance. As a result of these changes, customers of WoSign and StartCom may find their certificates no longer work in Chrome 56.
幸いにも(?)自分が発行した証明書はそれ以前の日付のものだったので、即、証明書が使えなくなるということはなくて、安心してました。
この時点で、StartCom の証明書を使うのをやめておくべきだったが、使い続けた結果、2017 年 4 月中旬あたりで Chrome のみ ksswre.net で SSL エラーが出るようになった。なお、HSTS をつかっているせいで、例外の接続も認められないので、完全に Chrome のみ締め出された感じ。この現象は Chrome 57 以降に固有に起こる問題で、Firefox, Safari, Internet Explorer は起こらず、また Chrome 56 でも起こらなかった。

こういう記事をもらったんで調べると

StartSSL Certificates not trusted in Chrome 57
http://forums.whirlpool.net.au/archive/2605051

Issue 2613833002: Restrict the set of WoSign/StartCom certs to the Alexa Top 1M (Closed)
https://codereview.chromium.org/2613833002

Alexa Top ランキングで 1M 位以内に入ってないページの StartCom 証明書がブロックされるようになる変更があった。どこにマージされたのかちょっとよく分からなかったけれど、Chrome 57 での変更に取り込まれたのは間違いないんじゃないでしょうか。
それで、ksswre.net はその犠牲となっていたということがわかった。

発表をもう一度読み直すと、
Certificates issued before this date may continue to be trusted, for a time, if they comply with the Certificate Transparency in Chrome policy or are issued to a limited set of domains known to be customers of WoSign and StartCom.
In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs. 
この記事を最初に読んだときは、暫くっつってるしまぁ大丈夫だろと思ってたんですが、よくよく考えればあれから半年以上経ったわけで、そろそろ無効化されても文句言えねぇなぁといった感じです。
重要なリリースはきちんと全部読みましょうねということと、いつどんな変更が来るか分からないのでとっとと対応しましょうねという心温まる話でした。

コメント

このブログの人気の投稿