Oracle、「JDK」でSymantec発行のTLS証明書を無効に ～来年4月のパッチから

公式ブログ“Oracle Java Platform Group, Product Management Blog”

　米Oracleは12月6日（現地時間、以下同）、米Symantecが発行したTLS証明書に対する信頼を「Oracle JDK」で停止する計画を明らかにした。Google、Mozilla、Apple、Microsoftと歩調を合わせた格好だ。

　Symantecはかつてデジタル証明書によるPKI（公開鍵暗号基盤）事業を営んでいたが、2017年1月、業界標準の監査プロセスに従わず、不正にSSL/TLS証明書を発行していた事実が明らかになった。そのためGoogleやMozillaをはじめとするWebブラウザーベンダーは、それらの認証局が発行したTLS証明書を段階的に廃止する方針を発表、実施してきた。

　Oracleによると、2019年4月16日に予定されているクリティカルパッチアップデート（CPU）以降、サポートされているすべての「JDK」（v7、v8、v11、v12）でSymantecをトラストアンカー（ルート）とした新しいTLSサーバー証明書が信頼されなくなる。これには“VeriSign”や“GeoTrust”といったブランドで発行された証明書も含まれる。

　4月16日より前に発行された証明書に関しては、その期限が切れるまで信頼され続けるが、いずれは対応が必要となる。SymantecのPKI事業を引き継いだ米DigiCertは移行支援を無償で実施しているので、それを利用するとよいだろう。