2018年2月1日
WebサイトのSSL/TLSサーバー証明書の話題が様々でていますが、今回は世界で30%以上のシェアを占めるシマンテック系のSSLサーバー証明書が、2018年3月と10月に、段階的に無効扱いされるようになります。
この無効化は全ブラウザで確認できるわけではありませんが、少なからず利用していないブラウザであっても確認されることを推奨いたします。
2018年3月と10月に無効化となるブラウザはChromeとFirefox
今はChromeが日本でもシェア1位になっていますので、しっかりと確認したいところかと。
ベリサイン/シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。
対象のサーバー証明書の発行元
Symantec
RapidSSL
GeoTrust
Thawte
無効化スケジュール
2018年3月15日頃
Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる
2018年4月17日頃
Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる
2018年9月13日頃
Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる
2018年10月23日頃
Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼しないようになる
上記の対象となるSSLサーバー証明書を使っているサイトは、証明書の期限の先まで有効だったとしても、ブラウザ側で正当な証明書を使っているとみなされなくなります(つまりHTTPSではなくなる)。
上記はChromeでの予定ですが、Firefoxも同様のタイミングで同じように対応していくことを発表しています(IE・Edge・Safariは未定)
SSLは様々な種類があり、年間コストも異なります。ECサイトではないから・・・というわけではなく、個人情報を入力する項目、例えばフォームも含まれます。それらがあるサイトでもSSLは今後必須項目の一つです。
以前から記事にもしておりますが、この機会にご確認ください。
2017年10月よりChromeでhttpページフォームに警告
Google Chrome 56とFirefox 51では警告 非HTTPS
各種SSL対応やWordpress脆弱性チェックなど昨今のセキュリティについて対応されていない企業・サイトは改善すべき事項でもあります。