news

シマンテックのSSLがChromeで利用できなくなります。

シマンテックのSSLがChromeで利用できなくなります。

お疲れ様です、システムの知恵袋の細谷です。

 

巷で噂(というよりはニュースになっていますが)になっている、シマンテック社関連のSSLがGoogleChromeで「信用できない通信」として処理されるまであと1日となりました。

対象となるシマンテック社のブランド「RapidSSL」「Geotrust」「Symantec」を利用されている方は証明書の再発行、または別の企業のSSL証明書への差し替えを行いましょう。

もし対応を入れない場合、「https:」のページにアクセスすると強制的に次のような画面が表示されます。

httpsはサイト全部かログインなどの特別な通信のあるページで使われています。

商品を購入しようと思って、カートを見たらこれが表示されると?

 

少なくともそのまま買いたいとは思えないですよね?

なので前述のSSLを使用されている方は証明書ファイルの再発行か別のSSLに差し替えを必ず行うようにしてください。

 

●SSLの発行会社の確認手順

対象のサイトの「https:」のページアクセスしたのちにF12キーを押し、開発者ツールを起動します。

上タブの中に「security」というタブがあるのでここで確認ができます。

 

●そもそもSSLって?

SSLとは、簡単に言うと暗号化通信を利用するために必要な第三者に発行してもらった暗号化通信利用許可証の事です。

前述の例でいえば、シマンテック社に調査をお願いして、「ピアラはちゃんとサイトを運営していますよ」と証明書を作ってもらっているという事になります。

※SSLは運営会社の調査も入るという事で企業の存在証明としてもつかわれることがありますが、SSLは暗号化通信の利用許可の方がメインのようです。私も勘違いしていました。

 

●暗号化通信は必要なの?

ネット上でのやり取りは基本公開で行われています、なので会員登録なども公開で、、、行われると困りますよね

なので暗号化して通信を行っています。例えば「姓:田中」を「くぁwせdrftgyふじこlp」を置き換えるとしておけばほかの人にはわかりません

 

●SSLが暗号化通信になぜ必要なのか?

暗号化という事はそのままでは使えませんよね? お名前を聞いたら「くぁwせdrftgyふじこlp」と返されても困ってしまいます。

なので元に戻すためのルール(復号化キーと言います)を送ってもらう必要がありますが、これをどうやって、、、正確には誰に送ればいいのでしょうか?

 

私こと細谷に送るとしても、本当に「細谷」はピアラに所属しているのでしょうか?、実は斎藤さんが書いているかもしれませんね、他の社員に聞いても口裏を合わせられたらNGです。

 

なので、細谷がピアラに所属しているか、というのを他の会社の人に見てもらうわけです、その調査証明書の宛先に送れば「細谷」に届きますよね?

これが、「SSL」の考え方です。実際には細谷ではなく「piala.co.jp」というドメインに当てるものになりますが。

 

●今回なぜ使えなくなるのか

先ほどの証明書ですが、そこら辺の通行人に調査をお願いしても、そんな証明書は信用出来ませんよね。なのできちんと調査機関として認められた会社に調査してもらうわけですが、

その調査会社がのシステムが悪用されてしまっていたことが判明したわけです。どうするかの協議が行われ、正規不正規全て丸っと「信用できない」として処理することになってしまったという事のようです。

(※ざっくりとした意訳なので、正式なものは公式のお知らせを見てください。)

 

不正規だけでいいんじゃないかという話もありますが、システム上は全部「正規」のものなので、それらをすべて検証しなおすのであれば、全部切ってしまおうという方針のようです。そもそも1~3年しか持たないので調査中に有効期限が終了となるケースになるので、最初からその方向にしている様ですね。(GoogleやMozillaも制限実施まで待ってくれてますし)

 

●影響範囲予測

https://webrage.jp/techblog/pc_browser_share/

ChromeとFirefoxの利用率は合わせて50%ほどなので、ECであれば約半数の注文が無くなると考えて差し支えないでしょう。

また常時SSL化している場合はサイト自体のSEOの低下も懸念されます。(当たり前ですが信用できない証明書を使っているサイトが上に来るわけないですよね)

 

 

以上となります。

 

すみません、もう少し早くブログにあげればよかったですね、ピアラでは対応は発表時から対応を行っていたので、失念していました。

「クイック認証」はSECOM社の「FujiSSL」を、「企業認証」は「Comodo」社の「Positive SSL」を使っていますので、すぐに代わりの認証を見つけないとという場合は一旦こちらを使ってはいかがでしょうか?

それでは失礼いたします。

 

 

 

 

(上記のが宣伝扱いにならないか、すこしドキドキしています。今このページに来ている人は急いでいると思っているので宣伝より対策の方を優先しているつもりですと言い訳をしておきます。)