Safari、SSLサーバー証明書の有効期限を最大13か月間に短縮へ 29
ストーリー by hylom
サーバー管理者としては手間が増える感じに 部門より
サーバー管理者としては手間が増える感じに 部門より
AppleのSafariブラウザで、HTTPSで使われるサーバー証明書の有効期限を最大13か月間(398日間)に制限する変更が行われるとの話が出ている(ITmedia、digicert、Apple Magazine、9to5Mac)。セキュリティ強化が目的。
サーバー証明書の有効期限はかつては39か月間だったが、2018年3月からは業界内の自主規制で最大825日間(約27か月間)に短縮されている。一方でAppleやMicrosoft、Googleなどは有効期限をより短くしたい意向を示していた。
そんなことより (スコア:0)
EV証明書以外ではクレジットカード情報など、機微のある情報を入力しないよう
メッセージを表示するとかしろよ。Amazonは死ぬかもしれないけど。
Re: (スコア:0)
EV証明書にそんな深い意味はないよ。知ってるドメインならDVで充分。
ドメインは知らないけど運営会社は知ってるっていうならEVが要る。
アマゾンは知ってるけどamazon.co.jpが正しいのか分からない人をターゲットに商売するならEVが要る。
それだけのこと。
脳死でEV取ってもそりゃいいけど、無駄だよね。
Re: (スコア:0)
だからChromeもFirefoxもEVを特別扱いしなくなった
Re: (スコア:0)
そうじゃねえよ。
世の中の大半の人が、ドメインや証明書の確認なんかしないから、
EV証明書を目立つようにしても効果が無いと考えただけだ。
で、そういう層に対して、「クレジットカード情報などを入力する
場合はアドレスを確認するようにしてください」なんてのが
まともな方法だと思うか? EV証明書以外では警告を出すようにすれば、
すくなくともフィッシング詐欺グループに対するハードルは、少なくとも
今よりは高くなる。
Re:そんなことより (スコア:1)
違うよ。EVの組織名を表示してもどこぞの国で "Amazon.co.jp Ltd" という会社を立ち上げてEV証明書をとればはいフィッシングサイトいっちょ上がりになるから組織名の表示をやめたんだよ。
Re: (スコア:0)
EV以外で警告が出るならごく一部の銀行とかのサイト以外は警告がバンバン出てくるわけで…
そんな頻繁に出てくる警告は無視されるようになるだけだから何の解決にもならないのでは
Re: (スコア:0)
証明書の確認なんかしないって自分で言ってるのに……支離滅裂だと思わないんだろうか
警告メッセージも目立たせるほど偽セキュリティ警告の広告がますます捗るだけで有害
期間が1年になると (スコア:0)
証明書が資産ではなく消耗品になるので困る?
オレオレ証明書は? (スコア:0)
自宅サーバや社内サーバに、セルフサインやオレオレ認証局でサインした
2038年まで有効な証明書を使ってる人は多いのでは?
そういったのが使えなくなると面倒
Re: (スコア:0)
サーバ側は Let's Encrypt とかを使いなよ
無料のものなんか信じられるか、というならSectigoやAlphaSSLとか安いのがあるぞ
クライアント証明書側は一考が必要だけど
Re: (スコア:0)
プライベートなネットワークだとLet's Encryptも使えんだろ。
Re: (スコア:0)
ドメイン持っててDNSいじれるなら使える。
Re: (スコア:0)
「ExchangeのほとんどのユーザーがOffice365に移ったから、タイミング的に今!」ってことなんでしょうな
うちはオンプレで今2年で発行してるんだけど、新しいテンプレ用意するかな...
#ルート証明書も今後このルールに当てはめるつもりなら発狂もの
Re: (スコア:0)
有効期限が短いお陰で気づかれないまま2038年直前で問題が爆発したりして
流石に証明書の2038年問題は解消したのかな?
Re: (スコア:0)
オレオレサーバー証明書はiOS10だかで、使えなくなったのでは?
クライアント証明書(こちらは本質的にオレオレ一択)と一緒に、
オレオレサーバー証明書の公開鍵もプロファイルに混ぜていたら、
iOSアップデートで使えなくなり、
私物のMAC MINIを会社に持ち込んだりして、ログを出させたら、
サーバー証明書がだめだとか言われて、
結局、買った証明書(DNSサーバー認証の安い方)にして、
プロファイルは、クライアント証明書のみとなりました。
Re: (スコア:0)
iOS10以降でもオレオレサーバー証明書使えますよ。
ルート証明書をメールかなんかに添付して、証明書プロファイルとしてインストールすればいい。
その後に[設定]>[一般]>[情報]>[証明書信頼設定]で許可すると使えるはず。
それで使えない場合はRSA2048bit以上またはSHA2(SHA-256)以上になっていない証明書を使っているパターン。
(SHA-1のオレオレルート証明書はiOS13で一律で信頼されなくなりました)
Re: (スコア:0)
リンク先読みましょう。
それより (スコア:0)
iOS版のSafariでSSLサーバー証明書が確認できるようにしないんでしょうか?
Re: (スコア:0)
下々の者はApple(の選定するルート証明書)だけを信じればいいという一神教
そうか (スコア:0)
それで最近3年の証明書買えなくなってたのね。
1年しか買えなくなると管理が超面倒だな
Re: (スコア:0)
Let's Encryptみたいな自動更新の仕組みがあればいいだけじゃない?
管理なんてしないよ。
Re: (スコア:0)
それもできないMicrosoft(teams)なんて・・・ぽいずん
Re: (スコア:0)
テスト環境とかだとそれでもいいし、実際そうしてますが、本番環境だとがちがちにポート閉じるのでポート80をフルオープンにしないといけないLet's Encryptはお客さんに許可してもらいにくいんですよねぇ。
Re: (スコア:0)
DNS経由の方で認証すればポート開ける必要なさげ。
Re: (スコア:0)
そう?
年次の定例作業になるから管理側としてはスケジューリングしやすいと思うけど
Re: (スコア:0)
サーバ証明書をパスワードと同等のセキュリティ措置だと思ってるならもうちょっと学習した方がいいよ
Re: (スコア:0)
Let's Encryptのページに有効期間を短く設定する理由が書いてあるので参考になるかと思います。
https://free-ssl.jp/blog/2015-11-09.html [free-ssl.jp]
Re: (スコア:0)
確かに、簡単な証明書や証明書の使いまわしが横行して証明書総当たり攻撃や証明書辞書攻撃に脆弱になる恐れがありますね。