Googleは昨年からSymantecが発行した証明書を段階的に使用できなくすると発表していました。使用できない証明書をそのまま使い続けているとGoogle Chromeで正常にアクセスできない状態になります。条件によりますが、2018年3月15日からそのような状況が発生する可能性がありますので、サイト管理者の方は自分のサイトが使っている証明書が、問題のない証明書かどうか最終確認しておいたほうが良いでしょう。
問題のある証明書の場合はすぐに再発行手続きを取る必要があるため、再発行手続きの手順を説明します。
問題のない証明書かどうか確認する
今回問題となる証明書の条件は以下のとおりです。
Symantec(シマンテック)が発行している証明書であること
Symantecは「Thawte」、「VeriSign」、「Equifax」、「GeoTrust」、「RapidSSL」と言ったブランドでも証明書を発行しているので、これらの証明書も問題となる証明書の範疇です。
Symantec系以外の証明書の場合は問題ありません。
2016年6月1日より前に発行された証明書
Google Chromeのバージョン66から使用できない状態になります。Googleはバージョン66のベータ版を2018年3月18日、安定版を2018年4月17日にリリースする予定と発表していますので、遅くとも2018年3月18日までに対策を取る必要があります。
2017年12月1日より前に発行された証明書
Symantecは2017年12月1日にDigiCert社へ証明書事業を売却しました。2017年12月1日以降の証明書はDigiCert社の証明書となりますので問題ありませんが、それ以前のSymantec社の証明書は全てGoogle Chromeのバージョン70から使用できない状態になります。Googleはバージョン70を2018年10月23日の週にリリースする予定と発表していますので、遅くとも2018年10月20日辺りまでに対策を取る必要があります。
問題のない証明書かどうかChromeで確認する
文章で書かれても本当に問題のない証明書かどうか判断がつきにくいかもしれません。問題のない証明書かどうかはGoogle Chromeを使うと非常に簡単にわかります。以下の手順で確認してください。
Google Chromeで対象のサイトを閲覧する
証明書を確認したいHTTPSサイトにChromeでアクセスしてください。
F12キーを押してDevToolsを開く
対象のサイトをChromeで開いた状態でファンクションキーのF12を押します。するとDevToolsが開きます。下記スクリーンショットの右半分がDevToolsになります。
DevToolsのconsoleを開く
consoleが開いていない場合は、メニューから「Show console drawer」をクリックしてconsoleを開きます。
下記スクリーンショットで言うと右下部分がconsoleになります。
すでにconsoleが開いている場合はこの操作は不要です。
consoleに表示されているメッセージを確認
consoleに以下のメッセージが表示されていたら、「問題のある証明書」です。XXの箇所はサイトによって変わります。
MXXの箇所がM66の場合はバージョン66で使用できなくなります。2018年3月18日までに対策が必要です。
MXXの箇所がM70の場合はバージョン70で使用できなくなります。2018年10月20日辺りまでに対策が必要です。
問題のある証明書の場合、どうするべきか
問題のある証明書の場合、証明書を再発行するか、別のブランドで証明書を取り直すかする必要があります。この時、証明書を発行するためにCSRの作成や、証明書の発行依頼、証明書の設置の作業をする必要があります。こちらでCSRの作成手順を説明していますので、参考にしてください。
証明書を再発行する
再発行は無料で行っているブランドが多いので、証明書の有効期限が多く残っている場合は再発行した方が費用面でもお得なことが多いでしょう。証明書のブランドサイトで再発行の方法を確認してください。ここではRapidSSLの再発行方法を簡単に説明するに留めます。
RapidSSLの証明書再発行の手順
証明書の種類、申請方法によって手順が異なります。あくまで私のところで行った再発行の一例と捉えてください。
下記URLにアクセスします。
https://products.geotrust.com/orders/orderinformation/authentication.do
「Fully qualified domain name or common name:」に対象となるサイトのドメインを入力します。
「Email address:」にメールアドレスを入力します。
「Image number:」に下に表示されている数字を入力します。
Continueボタンをクリックします。
ログインできたら、「Request Access」ボタンをクリックします。この時、何度も更新している証明書の場合古い証明書のデータも表示されるため「Request Access」ボタンが複数表示されますが、普通更新する証明書は最新の証明書に対して更新するはずですので、日付が最も新しい証明書の「Request Access」ボタンをクリックします。
次のようなメールが届きます。XXXの箇所はその時々によって変わります。
Dear Certificate Administrator,
A request has been made to view the order information for Order ID XXX issued to XXX
On the order information page you can perform the following, if applicable to the product:
- View the authentication status of the order
- View comments published by our support team
- Pick up your certificate (including the intermediate cert if applicable)
- View the certificate details
- View the order details
- Reissue the certificate
- Resend order emails
- Cancel the order
Please note that the Symantec PKI and SSL/TLS businesses have been acquired by DigiCert, Inc. For more information on DigiCert’s terms and conditions, including privacy policies and subscriber agreements, please visit https://www.websecurity.symantec.com/digicert-and-symantec-faq
To continue, please visit https://products.geotrust.com/orders/orderinformation/information.do?pin=XXX
******************************
Thank you,
RapidSSL Support
https://www.rapidssl.com/support/contact
メール文中の「To continue, please visit」以下のURLにアクセスします。
ページ左側メニューの「View Certificate Infomation」をクリックします。
再発行する証明書の種類を選び、CSRを入力します。
証明書再発行のチェックを入れて、「Submit」ボタンをクリックします。
次のようなメールが届きます。XXXの箇所はその時々によって変わります。
XXX ご担当者様
デジサートでは下記ドメインに対するSSL/TLSサーバ証明書の発行要求を受領いたしました。
FQDN名:XXX
※デジサートは、2017年11月1日をもってジオトラストを含むシマンテックのウェブサイトセキュリティ事業および関連するPKIソリューションを引継ぎ、お客様のSSL/TLSサーバ証明書の認証・発行の手続きを進めております。詳細については以下のURLのFAQページでご確認ください。
https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq
RapidSSL は、貴社のドメイン XXX の確認申請を受け付けました。
ご担当者様が上記のドメイン名の所有者または管理者であることをご確認いただいた上で、SSL/TLSサーバ証明書の発行を承認する場合は、下記URLにアクセスして、ウェブページ上の発行要求の内容をよくお読みになり、「承認する」のボタンをクリックしてください。
https://dcv.rapidssl.com/link/domain-control-validation/?t=XXX
万が一当該要求を承認されない場合は、お手数ですが弊社までご連絡ください。 https://www.rapidssl.com/contact/
お問い合わせ先
このSSL/TLSサーバ証明書発行要求の内容についてご質問がある場合は、下記の「サポートID」を添えて、以下のURLまたは電話番号より弊社までお問い合わせください。
今後ともよろしくお願い申し上げます。
RapidSSL 認証サポート
https://www.rapidssl.com/contact/
サポート ID: XXX
メール文中の「https://dcv.rapidssl.com/link/domain-control-validation/?t=XXX」にアクセスします。
内容を確認し、「承認する」のボタンをクリックします。
証明書がメールで届きます。
2018年3月までにすること
サイト運営社はサーバ管理者に証明書の最終確認を依頼してください。
サーバ管理者は証明書の最終確認をしましょう。
iNet Solutionsで管理しているサーバに関しては、全ての証明書を確認済みです。ご自分で確認できない方や自信のない方はiNet Solutionsにご依頼ください。