特集

そのSSL/TLS証明書は大丈夫? Google Chromeからhttpsサイトとして信頼してもらえなくなる場合も!?

Symantecのサーバー証明書の件について、DigiCert日本法人に聞いたFAQ的まとめ

 米DigiCertは2017年、Symantecが運営していたSSL/TLSサーバー証明書などの事業を買収した。日本でも、その日本法人としてデジサート・ジャパン合同会社が、これまでSymantecの子会社が扱っていた同事業を受け継いでいる。

 今年1月下旬には、米DigiCertのCEOであるJohn Merrill氏らが来日し、日本国内に認証局を構築することなど、今後の事業戦略を発表。その模様はすでにお伝えした通りだが、さらに今回、主に日本におけるDigiCertと旧Symantecのそれぞれの事業の関係や、今後のブランディング、Symantecブランドの証明書の切り換え予定などについて、デジサート・ジャパンに話を聞いた。


SymantecブランドのSSL/TLS証明書は、もうなくなるの?

DigiCertの日本法人「デジサート・ジャパン合同会社」の公式サイト。これまで「合同会社シマンテック・ウェブサイトセキュリティ」が提供していたSSL/TLSサーバー証明書などのサービスをデジサート・ジャパンが引き継ぎ、Symantecブランドのまま提供を継続している

 DigiCertが発行した証明書には現在、従来からのDigiCertによるものと、旧Symantecのものと、大きく分けて2種類がある。それにより、日本での販売ルートも異なる。

 日本においては従来からのDigiCertの証明書を、主にサイバートラスト株式会社が米DigiCertの代理店として販売している。一方、旧Symantecの証明書事業であるSymantecブランドやGeoTrustブランドは、デジサート・ジャパンを経由して販売している。

 「ユーザーの方々に混乱を与えてしまっていますが、従来からのSymantecブランドは当面、なくなることはありません。『Symantecの証明書はなくなる』という誤解もあるようですが、今後もずっと使えます」と、デジサート・ジャパンの担当者は強調する。


SymantecブランドのSSL/TLS証明書は、もう信頼されなくなるの?

 こうした混乱の一因としては、Googleが旧Symantecの証明書をウェブブラウザー「Chrome」で警告対象にするという問題もある。これは、過去にSymantecが発行した証明書の中に適切な確認プロセスを経ていないものが含まれていたため、今年3月にリリースが予定されているChrome 66のベータ版において、“2016年6月1日より前に発行された旧Symantecの証明書”の信頼を停止。さらに9月にリリースが予定されているChrome 70のベータ版で、旧Symantecの発行したすべての証明書の信頼を停止するというものだ。

 これに対してDigiCertは、旧Symantecの認証インフラをDigiCertのインフラに切り換え、DigiCertから新しいSymantecブランドの証明書を発行することで問題を解決した。従来のSymantecブランドの証明書を使っているユーザーは、DigiCertから無料で証明書を発行してもらうことで、問題がなくなる。

 「現在も旧Symantecの認証インフラで発行した証明書をお使いの方は、まだまだ多くいらっしゃいます。多くは1年の有効期限でご購入いただいているため、旧Symantecの認証インフラで最後に発行した2017年11月から1年後、すなわち今年11月には更新されて少なくなると思いますが、できるだけそれより前に、DigiCertが発行する証明書に切り替えていただければと思います。」

 そのためにデジサート・ジャパンから該当ユーザーに直接メールで案内したり、パートナー企業から案内したり、セミナーやワークショップで説明したりしているという。


サイトがGoogle Chromeの警告対象かどうかチェックするには

 DigiCertの発行する新しい証明書への入れ替えが必要なSymantecブランドの証明書および入れ替え期限は、証明書が発行された時期および有効期限満了日によって、以下のように分類される。

証明書の発行日・有効期限満了日再発行および再インストールが必要な時期
2016年6月1日より前に発行され、2018年3月15日以降に有効期限満了を迎える証明書2018年3月15日までに証明書の再発行および再インストールが必要
2016年6月1日~2017年11月30日に発行され、2018年9月13日以降に有効期限満了を迎える証明書2018年9月13日までに証明書の再発行および再インストールが必要
2017年12月1日以降に発行された証明書再発行および再インストール不要(2017年12月1日以降は、DigiCertから発行されているため)

 デジサート・ジャパンでは、入れ替えの必要があるのかどうか簡単に確認できる「SSLチェッカー」を、同社サイトで公開している。ウェブページ上にドメイン名を入力するだけで、該当するかどうか分かる。同社では、2017年12月1日より前に発行された旧Symantecの証明書を使用しているサイトの運営者に、チェックを呼び掛けている。

「SSLチェッカー」の表示例。これは、証明書の入れ替えが必要な場合


サイトの安全性を示すマーク「Norton Securedシール」はどうなる?

おなじみ「Norton Securedシール」。これは、新しい「Powered by DigiCert」バージョンのロゴ

 Symantecブランドは当面継続する方針のため、Symantecの証明書を利用していることをサイト上に示す「Norton Securedシール」ロゴも存続している。ただし、従来は「Powered by Symantec」となっていた部分は「Powered by DigiCert」に切り替わる。

 現在、4月までに「Powered by DigiCert」バージョンの新しいロゴへ切り替えている最中で、サイトによって新ロゴが表示される場合と旧ロゴが表示される場合がある。これは、そのサーバーがDigiCertの新しい証明書に切り替えているかどうかとは関係なく、ロゴを配信するサーバーが切り替わっているかどうかによる一時的な違いだという。

 ロゴのほか、旧Symantecのサービス内容もいままでどおり継続する。マルウェアスキャンや脆弱性診断のサービスも、Symantecブランドではこれからも提供される。

 Norton Securedシールのロゴ使用についてはSymantecと契約を結んでおり、当面の間は使用を継続する。大きく変えない理由は、やはりそのロゴの認知度の高さだ。「(ウェブサイトの安全性を示すマークとして)Norton Securedシールの認知度は95%と、最も認識されている」としており、これまで同ロゴによって安全性を示していたサイト側にとって、いきなりDigiCertブランドに変更してしまうのは抵抗感があることを考慮した結果だ。


そもそも「DigiCert」って何をしている会社?

1月に来日した、米DigiCert CEOのJohn Merrill氏

 その一方で、特に日本で「DigiCert」というブランドの認知度を上げていく必要があることは、デジサート・ジャパンも当然ながら認識している。

 「DigiCertはもともと米国でも“裏方”を得意とする会社で、大手の証明書ビジネスのバックエンドを担っていたりします。大量の証明書を扱う技術には長けていますが、“表”で名前を広げるのはそれほど得意ではありませんでした。今後は積極的にDigiCertを知ってほしいと考えています。」

 例えば、FacebookやPayPal、Intel、IBMなど大手企業がDigiCertの証明書を使用しており、その大量の通信の認証をDigiCertが支えているという。

 「企業によっては、ルート証明書もその企業独自のものを使っていて、DigiCertの名前が表に出ないかたちで運営されている場合もあります。また、ドローン用の証明書など、表に出ないIoTデバイスの証明書なども発行しています。」

 こうした世界最大級の認証インフラを運用するとともに、技術革新にもDigiCertは取り組んでいる。セキュリティやウェブブラウザーのコミュニティの活動にも参加し、標準化などにも貢献しているという。

 「例えば、ワイルドカード証明書(同じドメインのすべてのサブドメインを対象とする証明書)も、最初はDigiCertが一般提供し始めたものです。DigiCertは、新しい機能を提供したいというモチベーションが高い」。そのほか、SANs(マルチドメイン証明書)や、認証局として初めてCT(Certificate Transparency)ログサーバーを開発したのも、DigiCertだという。

 IoT関連では、自動車やエアコンなど業界ごとに異なるプロトコルの標準化にも取り組んでいる。また、IoTの時代は大量の証明書を高速に発行して管理するニーズがより高まり、DigiCertの得意な部分を生かせるだろうという。

DigiCertの企業概要。世界で毎日50億枚の証明書を検証し、毎秒1万1500件のセキュアなトランザクションを実現するインフラを運用しているという


無料のSSL/TLS証明書もある時代に、お金を払って発行してもらう必要はあるの?

 SSL/TLSの必要性が高まっている現在では、「Let's Encrypt」など無料でSSL/TLS証明書を発行するサービスも広く使われている。そうした中で、DigiCertなどの有償の証明書の意義とは何だろうか。

 「我々の価値は、本物であることを識別できるようにすることです。『必要なのは暗号化だけで、認証は重要ではない』という用途であれば、無料の証明書でもいいでしょう。しかし、我々の証明書では認証が重要だと考えています」とデジサート・ジャパンの担当者は力説する。

 SSL/TLSには、暗号化と認証という2つの側面がある。このうち暗号化については、無料の証明書でも満たされる。ただし、無料で提供される証明書は、サイトへアクセスする側から見ると、相手サイトの運営者が存在するところまでは分かるが、それが誰かまでは証明されない、いわば“匿名”の証明書だ。これは、DV(Domain Validation:ドメイン認証)証明書と呼ばれる。

 それに対して責任のある企業、特に金銭のやりとりなどをともなうサイトでは、確かにその企業のサイトであることを認証して、フィッシングなどのなりすまし被害を防ぐ機能もSSL/TLSには求められる。そのために、正規の企業や組織が存在することを認証するOV(Organization Validation:企業認証)証明書や、さらに厳密な認証のEV(Extended Validation)証明書が使われる。DigiCertなどの認証局では、これらのOV証明書やEV証明書を発行しているわけだ。

EV証明書を使っているウェブサイトは、ウェブブラウザー(画面はいずれもFirefoxでの表示例)での表示のされ方も異なる。例えば、「Twitter.com」はEV証明書のため、サイト運営者である「Twitter, Inc」の法的実在性も認証局によって認証されており、その名称もアドレスバーにも表示される。一方、弊誌「INTERNET Watch」のサイトもhttpsによって通信は暗号化されていて「安全な接続」ではあるが、アドレスバーに表示されるのは鍵マークのみだ


SymantecブランドのSSL/TLS証明書を使うメリットは?

 では、有料の証明書を提供している各社サービスの中から、デジサート・ジャパンが提供するSymantecブランドの証明書を使うメリットについてはどうだろう? 例えば、冒頭でも説明したように、デジサート・ジャパンが現在も販売するSymantecブランドの証明書と、そのほかのDigiCertブランドの証明書では、共通のプラットフォームで認証されるため、信頼性についてはどちらも遜色はない。

 ただし、付加サービスで異なる部分があり、Symantecブランドの証明書の特徴として、デジサート・ジャパンは3点を挙げた。1つめはマルウェアスキャンのサービスで、Symantecブランドの証明書を購入すると無償で提供される。

 2つめは、脆弱性を診断する脆弱性アセスメントサービス。EV証明書や「グローバル・サーバID」を購入すると、無償で提供される。

 3つめは、サイトに掲載する「Norton Securedシール」。前述したように、このシールの認知度が圧倒的に高く、認証されていることが広く伝わりやすい点を、デジサート・ジャパンの担当者は優位性として語った。

デジサート・ジャパンが提供する「シマンテックSSL/TLSサーバ証明書」のサービス紹介ページ。「Norton Securedシール」やマルウェアスキャンといった特徴を挙げている


DigiCertのSSL/TLS証明書、日本での販売チャネルが分かりにくいのですが……

 もともと買収によりいくつものブランドを抱えていたSymantecの証明書関連事業。これがさらにDigiCertに買収されたことにより、ブランドや販売チャネルが複雑になっていることは最初に触れたとおりだ。

 これについてはDigiCertでも、今後どう整理していくかが課題になっているという。

 「まだ準備ができていないために正式なことは言えませんが、おおまかには『スタンダード』と『プレミア』などシンプルなラインアップにしていく予定です」。販売チャネルについても当面は従来どおりだが、長期的には体系を整理していく方向だ。

 また、ブランディングにおいても当面、現状維持の予定だが、製品やサービスの開発についてはDigiCertとSymantecが1つになったことによる効果を生かしていく。特に証明書の更新などの管理ツールをより使いやすくしていくことを考えているという。

 「DigiCertは、Symantec以上にユーザー視点で、ユーザーが使いにくいところを解決していく姿勢が強い。Symantecブランドのサービスも、そうしたDigiCertの考え方で提供していきます。」

 最後に、改めて読者に伝えたいことをデジサート・ジャパンの担当者に尋ねると、「旧Symantecブランドの証明書を使用しているサーバーでは、DigiCertが無償で発行する新しい証明書へ入れ替えてもらう必要はありますが、他社の証明書に乗り換える必要はなく、これまでと同じ販売元から継続してお求めいただけます」と強調した。

(協力:デジサート・ジャパン合同会社)