ニュース

「Firefox 63」でSymantec発行のTLS証明書が無効に ~トップ100万サイトの3.5%に影響

正式版は10月23日リリースの予定

公式ブログ“Mozilla Security Blog”

 10月23日(米国時間)にリリースされる予定の「Firefox 63」では、SymantecをルートとするTLS証明書がすべて信頼されなくなる。公式ブログ“Mozilla Security Blog”によると、トップ100万のWebサイトの内3.5%に影響があるという。

 米Symantecは“VeriSign”や“GeoTrust”、“RapidSSL”といったブランドで認証局を運営するPKI事業を営んでいたが、2017年1月、業界標準の監査プロセスに従わず、不正にSSL/TLS証明書を発行していた事実が明らかになった。そのためGoogleやMozilla、Appleなどは、それらの認証局が発行したSSL/TLS証明書を段階的に廃止する方針を発表し、実施してきた。Symantecはその後、証明書を発行する事業を米DigiCertへ売却している。

 Mozillaは「Firefox 60」で、2016年6月1日より前に発行された証明書を無効化しているが、この措置は2018年3月の時点で約1%のWebサイトに影響した。しかし、5月9日の正式版リリース直前までに対応が進んだ結果、影響を受けたのは0.15%未満へ抑えられたという。今回の措置はそれよりも影響範囲が大きいと見積もられているが、該当サイトは過去2カ月で20%以上減少しており、前回と同等、急速に対応が進むものと期待されている。

 なお、「Google Chrome」では「Firefox 63」と同時期にリリースされる「Google Chrome 70」でSymantec証明書に対する信頼が完全に削除される予定。