Appleは2020年9月1日以降、TLS証明書の有効期間を最大825日から398日に変更するもよう。

スポンサーリンク

 Appleが2020年9月1日以降、TLS サーバ証明書の有効期間を最大825日から398日に変更するとCA/Browser Forumで発表したそうです。詳細は以下から。

Appleのコード署名のアイコン

 CA/Browser Forumの議長であるDean Coclinさんによると、2020年02月20日にスロバキアで行われたCA/Browser ForumのワーキンググループにAppleのSecure Transport EngineerであるBailey Basileさんらが参加し、Appleは2020年09月01日に発行されるパブリックTLS認証書の有効期限を最大398日(1年と猶予期間の1ヶ月)に変更すると発表したそうです。

At the CA/Browser (CA/B) Forum in Bratislava, Slovakia, this week, Apple announced that beginning Sept. 1, newly issued publicly trusted TLS certificates are valid for no longer than 398 days.[…] For your website to be trusted by Safari, you will no longer be able to issue publicly trusted TLS certificates with validities longer than 398 days after Aug. 30, 2020. Any certificates issued before Sept. 1, 2020 will still be valid, regardless of the validity period (up to 825 days). Certificates that are not publicly trusted can still be recognized, up to a maximum validity of 825 days.

DigiCert’s Position on 1-Year TLS SSL Certificates – CA/Browser Forum

 Appleは現在、macOS 10.15 CatalinaおよびiOS 13でTLSサーバ証明書の有効期間を最大825日(2年と3ヶ月)に定めており、2020年08月31日までに発行された証明書の有効期限は、そのまま825日ですが、09月01日以降に発行される証明書の有効期限は398日に変更されるそうです。

Apple TLS Certificates

さらに、2019 年 7 月 1 日以降に発行されるすべての TLS サーバ証明書 (発行日は証明書の NotBefore フィールドに明記)、以下のガイドラインに従う必要があります。

  • TLS サーバ証明書には ExtendedKeyUsage (EKU) 拡張領域を必ず含め、ここに id-kp-serverAuth OID を指定する必要がある。
  • TLS サーバ証明書の有効期間は 825 日以下である (証明書の NotBefore フィールドと NotAfter フィールドで明記)。

iOS 13 および macOS 10.15 における信頼済み証明書の要件 – Apple サポート

 TLS証明書の有効期限の変更は2019年08月に行われたBallot SC22で、Googleが提案したものの、一部の認証局が反対し、それまでの2年と3ヶ月に据え置かれていたそうですが、今回Appleのスポークスマンはユーザーを保護するためとして、この変更を決定したそうで、管理者グループにはAppleが今後数ヶ月以内にサポートページを公開するという情報が回ってきていますが、

有効期限切れの証明書を持ったWebサイト

有効期限切れの証明書を持ったWebサイト/サービスにはアクセスできなくなります。

以下の通り、AppleはmacOS 10.12 Sierra/iOS 10でSafariやWebKit、macOS 10.13 High Sierra/iOS 11では各アプリ、macOS 10.15 Catalina/iOS 13ではシステムベースでSHA-1署名を利用したTLS接続を終了しており、新しい有効期限が施行される「2020年09月」というタイミングは次期macOS 10.16/iOS 14のリリースにあわせたものと思われるので、06月に行われるWWDC 2020で追加の情報が公開されるものと思われます。

スポンサーリンク

AppleのSSL/TLS認証についてのタイムライン

  • 2017年01月
    ▶2017年春のセキュリティアップデート以降、SafariおよびWebKitでSHA-1署名の証明書を利用したTLS接続を終了すると発表

  • 2017年04月
    ▶macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2, watchOS 3.2のSafariおよびWebKitでSHA-1署名の証明書を利用したTLS接続を終了

  • 2017年秋
    ▶macOS High Sierra 10.13, iOS 11, tvOS 11, watchOS 4では、アプリやメール, VPNサービスなど全てのSHA-1署名の証明書を利用したTLS接続のサポートが終了

  • 2019年06月
    ▶2019年秋にリリースするmacOS 10.15 Catalina, iOS 13でSHA-1で署名された証明書でのTLS接続を完全に終了と発表。

  • 2019年09月04日
    ▶2020年03月のmacOS/iOSアップデートで同梱されるSafari v13.xで廃止されるTLS 1.0/1.1接続を完全に無効化したSafari Technology Preview v91をリリース。

  • 2019年09~10月
    macOS 10.15 Catalina, iOS 13でSHA-1で署名された証明書でのTLS接続を完全に終了
  • SHA-1 で署名された証明書は、TLS 通信では信頼されなくなります。[...] iOS 13 や macOS 10.15 では、上記の要件を満たさない TLS サーバには接続できなくなり、接続しようとすると、ネットワーク障害や、App が動かない、Safari に Web サイトが読み込まれないなどの症状につながる場合もあります。

  • 2020年02月20日
    ▶AppleはCA/Browser Forumで2020年09月01日以降、TLS サーバ証明書の有効期間を現在の最大825日から398日に短縮すると発表。

  • 2020年03月03日
    ▶2020年09月01日以降に発行されたTLS サーバ証明書の有効期間を現在の最大825日から398日に短縮すると公式に発表

  • 2020年09月01日New
    ▶2020年9月1日以降に発行されたTLSサーバ証明書の有効期間が最大825日から最大398日に短縮