Google、Symantec証明書に対する信頼を段階的に削減。「Google Chrome 70」で完全削除

公式ブログ“Google Online Security Blog”

　米Google Inc.は11日（現地時間）、公式ブログ“Google Online Security Blog”で、米Symantecが発行するSSL/TLS証明書の今後の扱いを発表した。Symantecの証明書に対する信頼を段階的に削減し、「Google Chrome 70」では完全に削除するという。

　Symantecは“Thawte”、“VeriSign”、“Equifax”、“GeoTrust”、“RapidSSL”といったブランドで認証局を運営するPKI事業を営んでいたが、今年1月、業界標準の監査プロセスに従わず、不正にSSL/TLS証明書を発行していた事実が明らかになった。そこで、GoogleはSymantecが発行した証明書を「Google Chrome」で信頼しないようにする措置をとることを検討していた。その後、Symantecは証明書を発行する事業を米DigiCertへ売却している。

　Googleは、DigiCertへのインフラストラクチャー移行に十分な猶予を与えるために、Symantecが発行した証明書への信頼を段階的に削除する。

　まず、「Google Chrome 66」から2016年6月1日より前に発行された証明書への信頼を取り除く。「Google Chrome 66」はベータ版が来年3月15日に、安定版が4月17日にリリースされる予定。2016年6月1日より前にSymantecによって発行された証明書を利用している場合は、それまでに既存の証明書を新しいものへ取り換える必要がある。

　一方、Symantecは今年の12月1日までにDigiCertへのインフラストラクチャー移行を完了させる。それ以降にSymantecのインフラストラクチャーから発行された証明書は、「Google Chrome」では信頼されない。

　続いて、来年10月23日の週にリリースされる予定の「Google Chrome 70」では、発行日に関わらず、Symantecの古いインフラストラクチャーおよびそこから発行されたすべての証明書への信頼を完全に取り除く。つまり、現在Symantecの証明書を利用しているサイト管理者は13カ月以内に証明書を入れ替える必要がある。