ちゃんとしよ・・・
INTERNET Watchの記事に、 旧Symantec系SSL/TLS証明書、3月15日以降順次、Google Chromeで失効 てのがありました。
Googleは、3月15日にベータ版、4月17日に安定版が公開予定のウェブブラウザー「Chrome 66」において、2016年6月1日より前に発行されたSymantec系のSSL/TLS証明書の信頼を停止することについて、ウェブサイト管理者は直ちに対応する必要があるとセキュリティ公式ブログで告知しているそうです。記事によると・・・
対象となるのは、Googleによって信頼できないと判断されたSymantec系認証局(CA)のThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどが発行したSSL/TLS証明書。これについてGoogleでは、2017年9月にも告知を行っていた。
だそうです。GoogleとSymantecの証明書に関するイザコザについてはここでは言及しませんけど、Google様が信用出来ないと仰っている以上今回のような措置になってしまうようです。
で、この手の証明書を利用しているのはおおよそが法人様だと思うんです。大手のサイトは別に問題ないんですけど、ウチのお客様でもある中小企業様でECを営んでらっしゃる企業様なんかは、サイトの製作業者などに
「ECやるんであれば証明書付けといたほうが良いですよ・・・」
みたいな感じで、付けてる企業様もあるかもしれません。もちろん、サイトの制作業者としては今回の件は当然ながら把握済みでしょうから、顧客に証明書の再発行なりを打診するでしょう。
ただ、全ての業者がキッチリ打診するかというとアレですよ。殆どの業者様はしっかりとアフターケアされてますので問題ないと思うんですけど、一部の業者様は作ったらソレっきりというところも無いとは限りません。
まあ、そういった場合でもSymantec側からECを営んでらっしゃる企業様にメールで再発行のお知らせなんかは行くでしょう。果たして、それをみてECを営んでらっしゃる企業様はちゃんと対応されますかねぇ・・・
対応されると思いますけど、もしかしたら「ナンノコッチャ?」とスルーするところもあるかもしれません。
そもそも証明書を発行する業者がGoogle様の逆鱗に触れたことが問題なわけで、それを利用している顧客には何の問題もないのに無駄な対応させるのもいかがなものかと思います。
ウチもつい最近、顧客様のECサイトのリニューアルのサポートをさせていただいたんですけど、その際に常時SSL化もご希望で証明書を比較検討したんですけど、今回の件もあるので当初からSymantec系は選択肢に挙げずにスルーでした。
まぁそうなりますよね。仮にも”証明書”を発行しているんですから、ちゃんとしてもらいたいものですね。