News
2016年8月22日: Google Chrome53におけるCertificate Transparency(CT)に関する仕様変更の内容ならびに影響の回避方法について
Google ChromeブラウザでのSSL証明書の警告表示に対する回避方法
2016年9月上旬にリリースされる見込みのGoogle Chrome 53(以下、Chrome 53)において、お客様がご利用中のSSLサーバ証明書がCertificate Transparency(CT)のログに登録されていない場合に、サイトへのアクセス時に警告/エラーが表示される機能が追加されることが 判明しましたのでご案内申し上げます。
対象ブラウザのバージョン
以下の日程でリリースされる見込みのChrome 53にて、次項の条件に該当する場合に 警告/エラーが表示される動作が確認されております。
- 2016年 9月1日(日本時間)リリースされました
※ Google社によるリリース日程の詳細は以下ウェブサイトでご確認いただけます。
Chromium Development Calendar and Release Info
https://www.chromium.org/developers/calendar
警告、エラーの発生条件
以下のいずれかに該当する場合に警告、エラーが表示される動作が確認されております。
(1) CT未対応
ご利用中のSSLサーバ証明書がCertificate Transparency (証明書の透明性(CT)) の公開ログサーバへ登録されていない場合。
(2) CT非公開を選択
ご利用中のサーバ証明書が「CTへ登録する情報の一部を非公開(Name Redaction)とする」を選択して取得されている場合。
警告、エラーの回避方法
(1) CT未対応
更新または再発行(無償)による証明書再インストール(推奨)
CTを有効にして「更新」または「再発行(無償)」していただき、ウェブサーバ上の 証明書を置き換えていただくことで、警告、エラーを回避することが可能です。
更新ならびに再発行の方法については、以下のサポートページをご参照ください。
[ジオトラスト] 証明書の再発行について(2) CT非公開を選択
Chromeの「CT exemption Policy」を用いる方法
社内ネットワークなどプライベートな環境でサーバ証明書を利用される予定で、 サーバ証明書の情報(またはサブドメインの情報)の公開ログサーバへの登録を希望されない場合には、 企業向け端末管理ソフトウェア等により、CTの機能の一部を無効化するためのポリシーを企業ユーザの端末に適用することで、 警告、エラー表示を回避することが可能です。
注意 : CT exemption Policy は、グローバル環境で利用するサーバIDのCTチェックを無効にするものでは無く、ポリシーで構成された端末のみに有効です。
ポリシー名 : CertificateTransparencyEnforcementDisabledForUrls
Chrome/Chromium policy configuration for Windows, Mac, Android, Linux:
http://www.chromium.org/administrators/policy-list-3#CertificateTransparencyEnforcementDisabledForUrls
Policy templates for enterprise provisioning:
https://www.chromium.org/administrators/policy-templates
CT対応可否確認サイト
お客様のSSLサーバー証明書が、CTログに登録されておられるか
以下Googleのサイトにて確認いただく事が可能です。
https://www.google.com/transparencyreport/https/ct/?hl=ja
【CT対応済の場合の検索結果】
-追加のお手続き・作業等の必要はございません。
【拡大図】
【CT未対応の場合の検索結果】
-SSLサーバー証明書の再発行を行う事で、CT対応が可能となります。CT対応を希望される場合には、弊社にご依頼ください。
【拡大図】
概要
Certificate Transparency(CTログ)の概要につきましては下記URLをご参照ください。
https://www.securestage.com/jp/information/ct201602.php
