「Firefox 63」でSymantec発行のTLS証明書が無効に ～トップ100万サイトの3.5％に影響

公式ブログ“Mozilla Security Blog”

　10月23日（米国時間）にリリースされる予定の「Firefox 63」では、SymantecをルートとするTLS証明書がすべて信頼されなくなる。公式ブログ“Mozilla Security Blog”によると、トップ100万のWebサイトの内3.5％に影響があるという。

　米Symantecは“VeriSign”や“GeoTrust”、“RapidSSL”といったブランドで認証局を運営するPKI事業を営んでいたが、2017年1月、業界標準の監査プロセスに従わず、不正にSSL/TLS証明書を発行していた事実が明らかになった。そのためGoogleやMozilla、Appleなどは、それらの認証局が発行したSSL/TLS証明書を段階的に廃止する方針を発表し、実施してきた。Symantecはその後、証明書を発行する事業を米DigiCertへ売却している。

　Mozillaは「Firefox 60」で、2016年6月1日より前に発行された証明書を無効化しているが、この措置は2018年3月の時点で約1％のWebサイトに影響した。しかし、5月9日の正式版リリース直前までに対応が進んだ結果、影響を受けたのは0.15％未満へ抑えられたという。今回の措置はそれよりも影響範囲が大きいと見積もられているが、該当サイトは過去2カ月で20％以上減少しており、前回と同等、急速に対応が進むものと期待されている。

　なお、「Google Chrome」では「Firefox 63」と同時期にリリースされる「Google Chrome 70」でSymantec証明書に対する信頼が完全に削除される予定。