Apple、2020年9月1日以降に発行されたTLSサーバ証明書の最大有効期間を825日から398日に短縮。今後、新しい要件に違反するTLSサーバへの接続は失敗するので注意を。

信頼済み証明書に関する今後の制限について Safari
記事内に広告が含まれています。
スポンサーリンク

 Appleが2020年9月1日以降に発行されたTLSサーバ証明書の最大有効期間を825日から398日に短縮しています。詳細は以下から。

Appleのコード署名のアイコン

 Appleは今年(2020年)03月、Web管理者やアプリの開発者に対し、Webセキュリティの向上を理由にGMT/UTCTLS(協定世界時/グリニッジ標準時TLS)で2020年09月01日以降に発行されたTLSサーバ認証書の有効期限を、これまでの最大825日(2年と猶予期間の3ヶ月)から最大398日(1年と1ヶ月)に変更すると発表しましたが、本日よりこの変更が施行されています。

信頼済み証明書に関する今後の制限について

変更点
2020年9月1日 00:00 (GMT/UTCTLS) 以降に発行されたサーバ証明書は、有効期間が 398 日間を超えないものとします。今回の変更は、iOS、iPadOS、macOS、watchOS、tvOS でプレインストールされるルートCAが発行するTLSサーバ証明書にのみ適用されます。また、2020年9月1日以降に発行されるTLS サーバ証明書にのみ適用され、その日付以前に発行された証明書は、今回の変更の影響を受けません。

信頼済み証明書に関する今後の制限について – Apple Support

 この話の発端は2019年までにさかのぼり、ポリシーの提案者はGoogleでAppleやMozillaはこれに賛同していましたが、これがCA側の反対により否決されたため、AppleのSecure Transport Teamはユーザーセキュリティを第一として、このポリシーを強行すると発表。現在は以下のようにGoogleとMozillaも同じポリシーを採用すると発表しています。

Google and Mozilla Reducing TLS Certificate Lifespans to 398 Days

  1. 2019年08月
    ▶Googleが重大なセキュリティ・インシデントが発生すると長期の証明書はリスクが高いとして、証明書の期限を最大825日から398日にしようと提案

  2. 2019年09月
    ▶AppleやCisco, Microsoft, Mozilla, Opera, 360などのブラウザベンダーがこれに賛同するも、CamerfirmaやCertum (Asseco), CFCA, Chunghwaなどの認証局が認証局側の負担が増えるとして、これを否決。

  3. 2020年03月
    ▶2020年09月よりAppleはユーザーセキュリティ保護を第一として、これを強行すると発表

  4. 2020年06~07月
    GoogleMozillaが協議の末、Appleと同じく信頼するTLSサーバ証明書の期限を最大398日にすると表明。

 このポリシーの変更は2020年09月01日以降に発行されるTLSサーバ証明書に適用されるため、2020年08月31日までに発行された証明書は影響を受けませんが、Web管理者は今後有効期限が398日を上回るTLSサーバ証明書を購入しても、398日後には新しい要件に違反するTLSサーバとして接続が認められなくなるので注意してください。

有効期限切れの証明書を持ったWebサイト

AppleのSSL/TLS認証についてのタイムライン

  • 2017年01月
    ▶2017年春のセキュリティアップデート以降、SafariおよびWebKitでSHA-1署名の証明書を利用したTLS接続を終了すると発表

  • 2017年04月
    ▶macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2, watchOS 3.2のSafariおよびWebKitでSHA-1署名の証明書を利用したTLS接続を終了

  • 2017年秋
    ▶macOS High Sierra 10.13, iOS 11, tvOS 11, watchOS 4では、アプリやメール, VPNサービスなど全てのSHA-1署名の証明書を利用したTLS接続のサポートが終了

  • 2019年06月
    ▶2019年秋にリリースするmacOS 10.15 Catalina, iOS 13でSHA-1で署名された証明書でのTLS接続を完全に終了と発表。

  • 2019年09月04日
    ▶2020年03月のmacOS/iOSアップデートで同梱されるSafari v13.xで廃止されるTLS 1.0/1.1接続を完全に無効化したSafari Technology Preview v91をリリース。

  • 2019年09~10月
    macOS 10.15 Catalina, iOS 13でSHA-1で署名された証明書でのTLS接続を完全に終了
    • SHA-1 で署名された証明書は、TLS 通信では信頼されなくなります。[...] iOS 13 や macOS 10.15 では、上記の要件を満たさない TLS サーバには接続できなくなり、接続しようとすると、ネットワーク障害や、App が動かない、Safari に Web サイトが読み込まれないなどの症状につながる場合もあります。

  • 2020年02月20日
    ▶AppleはCA/Browser Forumで2020年09月01日以降、TLS サーバ証明書の有効期間を現在の最大825日から398日に短縮すると発表。

  • 2020年03月03日
    ▶2020年09月01日以降に発行されたTLS サーバ証明書の有効期間を現在の最大825日から398日に短縮すると公式に発表

  • 2020年09月01日New
    ▶2020年9月1日以降に発行されたTLSサーバ証明書の有効期間が最大825日から最大398日に短縮

コメント

タイトルとURLをコピーしました