MavericksとChromeの組合せで起きる不具合

世の中ではSSL証明書のSHA-2への移行が騒がれていますね。
Chromeが突然警告出すようになったので、あまり詳しくない友人がビックリして「何これ?開くと危険なの!?」と私に聞いてきたりしました。(これは私が以前「この緑色は安全の証なんだよ」と教えたせいでもありますが)

そんな中、とあるサイトのSSL証明書が有効期限を迎えたので、SHA-1・SHA-2どちらで更新するか事業部に相談、PC専用サイトということでSHA-2で更新したのですが、ある問題が発生してしまいました。

その問題とは「MacOS Mavericks+Chromeの組み合わせだけ、SHA-1と同じ警告が出る」というイレギュラーなもの。WindowsでもYosemiteでも緑色になるのに、何故かMavericksだけ・・・

あ、ここでSHA-1の警告についておさらい。
参考資料:https://www.jp.websecurity.symantec.com/sid-partner/products/pdf/chrome_sha1deprecation_201409_1.pdf

■Chrome v40(2015/2/20現在最新)

有効期限終了日(GMT) SHA-1/SHA-2 アドレスバーの表示
2016/5/31以前 SHA-1 緑色
2016/5/31以前 SHA-2 緑色
2016/12/31以前 SHA-1 黄色
2016/12/31以前 SHA-2 緑色
2017/1/31以降 SHA-1 白色(http:// と一緒)
2017/1/31以降 SHA-2 緑色

■ Chrome v41(2015/4 一般リリース予定)

有効期限終了日(GMT) SHA-1/SHA-2 アドレスバーの表示
2015/12/31以前 SHA-1 緑色
2015/12/31以前 SHA-2 緑色
2016/12/31以前 SHA-1 黄色
2016/12/31以前 SHA-2 緑色
2017/1/31以降 SHA-1 赤色(取消し線)
2017/1/31以降 SHA-2 緑色

要はSHA-1で出す場合「有効期限日を2015/12/31まで」にしないと警告が出てしまい、SHA-2なら有効期限にかかわらず警告は出ない。という趣旨ですね。

では何でMavericks+Chromeだけ警告が出たのか。Symantecさんに問い合わせた結果、以下の事実が判明しました。

Mavericksは1024bitと2048bitの2つのルート証明書を持っているが、証明書の検証をする際に証明書の鍵長や署名アルゴリズムに関わらず1024bitのルート証明書を辿る挙動になる。
1024bitのルート証明書に辿りつくためにはSHA-1で署名されたクロスルート証明書が必要となるが、ChromeのSHA-2判定基準はサーバ証明書・中間証明書群全てSHA-2であることが求められるため、判定がSHA-1となりアドレスバー警告が表示される。

よく解らないですよね。はい。。ということで図解してみました。

Marvericks+ChromeのSHA-1証明書警告について

困った問題ですねぇ。教えてGoogle先生っ!

google.com_cert

何この証明書。。さっさとSHA-2移行しろと言わんばかりに警告出しておいてコレかーぃ!!

取りあえずSHA-1にしろSHA-2にしろ、有効期限を2015/12/31で出すしかないのかな。。

 


PAGE TOP