Google Chrome Canary で Symantec 証明書無効化を検証

セキュリティTech

Google Chrome で将来的に無効化される Symantec 証明書の検証を行いました。
Canary バージョンの Google Chrome を利用することで、2018年4月以降にエラーとなる証明書を事前に確認できます。

シマンテック証明書の問題

Symantec 系の認証局において、証明書発行に関する不手際が過去にありました。
それを受けて、Google Chrome では Symantec から発行された証明書の信頼を段階的に無効化すると発表しています。

第一弾として、Google Chrome 66 から 2016年5月以前に発行された証明書を信頼しない 状態となります。該当する証明書では以下のような表示が出てしまうことに。

証明書エラー画面の例

外部リソースの証明書も要チェック

サイト自体の証明書に問題がなくても、外部から読み込んでいるスクリプトや CSS のサーバ(証明書)が該当する場合は、アドレスバーが警告表示となります。

Chromeアドレスバーのエラー表示例

リソース自体も読み込まれなくなるため、ページの表示が崩れてしまう原因にもなりかねません。

証明書エラーのCSS/JSは読み込まれない

外部リソースの証明書をすべて確認するのは手間もかかりますので、今回は Chrome Canary を活用しました。

Google Chrome Canary とは

Google Chrome では、開発中のバージョンである Canary 版 が公開されています。

Google Chrome Canary

安定板(通常版)より2つ先のバージョンが公開されており、現在は Chrome Canary 66 です。
すでに 2016年5月以前に発行された証明書を信頼しない 状態となっているため、Chrome Canary 66 からアクセスするだけで事前確認が可能となります。

Canary はデベロッパーや開発段階の機能に興味があるユーザー向けに設計されており、動作が安定しない可能性があります。

なお、注意書きにもある通り、開発版のため動作が不安定になることもあります。
利用する際は安定版との併用をお勧めします。(Canary 版と安定版は同時インストール可能)

動作検証

以下の内容は、2018年2月6日時点 の検証結果です。
日本最大のポータルサイトにアクセスしてみます。 https://www.yahoo.co.jp/

Yahoo! JAPANの証明書エラー

保護されていません の表示が出てしまいました。

大手フリマアプリのサイトも見てみます。 https://www.mercari.com/jp/

メルカリの証明書エラー

同様に 保護されていません の表示が出てしまいました。

開発者ツールで確認すると、ページ内の外部リソースで証明書エラーが発生しているようです。
(どちらのサイトもエラー内容は同一でした)

Yahoo! タグマネージャー s.yjtag.jp の証明書がエラーとなっています。

Yahoo! タグマネージャーの証明書エラー

現在の安定版である Chrome 64 でアクセスした場合は問題ありません。
開発者ツールのコンソールにメッセージは表示されるものの、赤字の警告が出ることはないです。

しかし、外部ドメインの証明書が更新されない限りは、2018年4月17日 までに予定されている Chrome 66 安定版のリリースでこの現象が発生してしまいます。

まとめ

  • 特定の Symantec 証明書が Google Chrome で信頼されなくなります
  • Google Chrome Canary を用いて事前に確認可能です
  • 自サイトだけでなく外部リソースの証明書もチェックが必要です

広告関連やアクセス解析など、外部リソースを活用しているサイトは多くあると思います。
ぜひこの機会に確認してみることをお勧めします。