ブラウザによって対応が違う・・・
窓の杜の記事に、 Mozilla、Symantec証明書の信頼を段階的に削除 ~具体的なスケジュールをアナウンス てのがありました。
米Symantecが発行していたSSL/TLS証明書に対する信頼を段階的に取り除く作業が「Google Chrome」で実施されているが、「Firefox」でも同様の取り組みが始まっているそうです。
詳細は記事に譲りますが、本ブログでも先週 旧Symantec系SSL/TLS証明書が3/15以降順次GoogleChromeで失効します! とのエントリーでGoogleChromeでの旧Symantec系SSL/TLS証明書の失効に関する記事をお伝えしました。
それに引き続き、Firefoxでも同様に旧Symantec系SSL/TLS証明書の失効手続きがなされるようですね。
MozillaとGoogleが比較的近い存在であることもあり、Googleよりであるために同様の措置をとったとも取れるわけですけど、気になるのはMicrosoftのEdgeやAppleのSafariなどについては、この旧Symantec系SSL/TLS証明書の件については全くのスルーであるということです。
前述のようにChromeやFirefoxについては、段階的に旧Symantec系SSL/TLS証明書についての信頼を取り除く作業が進んでいるわけですが、MicrosoftのEdgeやAppleのSafariに関しては全くこのような施策は行われないわけで、ChromeやFirefoxで該当のサイトを見た場合は、“信頼できない接続”であるというエラーが表示されるのに、EdgeやSafariで閲覧した場合には全く問題ないサイトであるように見えてしまうという矛盾が発生します。
同じサイトを閲覧しているのに、ブラウザによって信頼できる・できないが異なって表示されてしまうのはユーザーに誤解を与えることにはならないでしょうか?
GoogleやMozillaの考え方と、MSやAppleの考え方の相違と言えばソレまでですが、サイトの証明に関する重要な問題なのですから、できれば業界全体としてきちんとした見解をまとめていただきたかったですね。
もちろん放置しておけば、いずれ過去に発行された証明書は失効していくので問題ないと言えば無いですけど、少なくとも移行期間についてはブラウザによって信頼できる・出来ないが異なって表示されることは間違いないわけですからね。
EdgeやSafariをご利用の方は、こういった問題があることを認識した上で、サイトの信頼性についてはご自身で判断なされることをお薦めします。