Appleは2月に、SafariのHTTPS保護を強化する計画を発表しました。この計画は今年9月1日から適用されます。本日発表された新たなレポートによると、他のブラウザもAppleの例に倣い始めているようですが、議論の余地がないわけではありません…
背景
当時説明したように、Apple は過去 13 か月以内に発行された HTTPS 証明書のみを有効なものとして受け入れます。
HTTPSは、標準ウェブプロトコルHTTPの安全なバージョンです。ユーザーとサーバー間の通信は双方向で暗号化されます。
HTTPSは、いわゆる「中間者攻撃」から保護します。これは、誰かが一見無害そうな名前のWi-Fiホットスポットを作成し、そこを通過するすべてのトラフィックをキャプチャする攻撃です。通常のHTTPでは、ユーザー名やパスワードを含むすべてのコンテンツが平文で送信されます。HTTPSでは、攻撃者が取得できるのは意味不明な文字列だけです。
ブラウザがHTTPSウェブサイトに接続する場合、そのサイトが有効なセキュリティ証明書を持っているかどうかを確認します。これは、サイトが実際に暗号化されていることを第三者機関が監査したという証明となります。
証明書は、ウェブサイトが発行時点で最新のHTTPS暗号化規格を使用していたことを示すだけなので、発行日が古いということは、サイトが最新のセキュリティ対策を使用していないリスクが高まっていることを意味します。また、証明書が攻撃者によって侵害され、無効になってしまう危険性もあります。証明書の有効期間を短縮することで、このリスクも軽減されます。
Safariはこれまで、発行日から825日以内の証明書を受け入れていました。TNWの報道によると、Safariは9月1日以降、発行日から398日(13か月)以上経過した証明書を拒否すると発表しました。つまり、Safariは証明書が期限切れであることを警告し、サイトへの接続を控えるよう促すことになります。
HTTPS保護を強化する動きは必ずしも歓迎されていない
ZDNet は、Mozilla と Google の両社が同日に同じ措置を取ると発表したと報じている。
Apple の最初の発表に続いて、Mozilla と Google も自社のブラウザに同じルールを実装するという同様の意向を表明しました。
2020 年 9 月 1 日より、Apple、Google、Mozilla のブラウザとデバイスでは、有効期間が 398 日を超える新しい TLS 証明書に対してエラーが表示されます。
これはウェブユーザーにとって朗報ではあるものの、サイトは、誰もがこれに満足しているわけではないと指摘しています。従来、証明書の有効期間は、証明書を発行する認証局(CA)とブラウザメーカーで構成されるCA/Bフォーラムと呼ばれる団体によって決定されています。
CAとブラウザ企業は長年にわたり争ってきました。CAは有効期限の短縮はIT企業の負担増につながると主張し、ブラウザ企業はウェブユーザーにとってより安全だと主張しています。昨年の投票では、CAが勝利し、ブラウザ企業は敗北しました。
しかし、Appleは一方的な行動をとったため、他のブラウザメーカーも同様の対応をとっています。これは、2年という公式標準が事実上消滅したことを意味します。ある業界サイトはこれを予測し、「ブラウザが事実上、法令で裁定することになる」ため、標準化フォーラムは「茶番劇」になるだろうと述べています。
chipowe.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
