Safariブラウザで信頼する証明書の要件が更新されます。
有効期間短縮の経緯
CA/Browser Forumにおいて、 Appleが9月1日以降に発行されるパブリック証明書は398日以内の期限を持つものに制限することを発表しました。
この内容は2019年8月にも、 CA / ブラウザフォーラムで 「バロットSC22」がGoogleによって提案され、SSL/TLSサーバ証明書の有効期間を1年に短縮するというものでしたが、
ほとんどが反対を示しこの議論に対する投票はフォーラムで否決された結果、証明書の最大有効期間は2年のまま据え置かれました。
今回の発表は、Appleが一方的に短い証明書の有効期間を強制する理由として以下の事項を述べています。
・重大なセキュリティインシデントの際、証明書の寿命が長くなると証明書の入れ替えが難しくなる。
・重大な証明書関連の脅威に迅速に対応できないエコシステムには問題はある。
・短期の証明書はSSL/TLSサーバ証明書が危険にさらされた場合に、狙われる危険を減らすことから
セキュリティを向上できる。
・企業名、住所、アクティブドメインなどの所有権を毎年更新することにより、組織の再編などによる
運用上の混乱を最小限にとどめる事ができる。
影響範囲
この発表により、AppleがSafariブラウザにて2020年8月31日以降に発行する証明書は398日を超える有効期間を持つSSL/TLS証明書は信頼されなくなります。
2020年9月1日より前に発行された証明書は有効期間(最大825日)に関係なく、引き続き有効です。
※InternetExplorer、Chrome、FirefoxなどのApple以外のベンダーが提供するブラウザではこの影響は受けません。