有料会員限定記事 現在はどなたでも閲覧可能です
企業のWebサイトに「7月危機」が迫っている。サイトの通信全体を暗号化する技術である「常時SSL/TLS」を導入しないと、利用者離れを招いたりサイトそのものにアクセスできなくなったりする恐れがある。
発端は米グーグルが2018年7月24日にリリース予定のWebブラウザーの最新版「Chrome 68」だ。グーグルは同版でセキュリティ機能を強化し、SSL/TLSを全面導入していないWebサイトにアクセスすると「セキュリティで保護されていない」と表示する。アクセス自体は可能だが、利用者が不安に駆られて控える恐れがある。
さらにグーグルは暗号化に必要なサーバー証明書のうち、旧シマンテックブランドの証明書を2018年7月20日ごろから10月にかけて段階的に無効にしていく。同証明書の信頼性に不備があるとのグーグルの見解に基づく措置だ。同証明書を導入しているサイトにChromeでアクセスするとエラーと表示して、アクセスを事実上遮断する。シマンテックブランドの証明書は世界で4割超、国内で6割のシェアを占めそれぞれ首位とされる。
Chromeのシェアは4~6割と言われWebブラウザーの中で最大であり、アクセスできなくなればサイトへの影響は深刻だ。米アップルや米モジラもグーグルに追随。モジラは2018年10月にリリース予定の「Firefox 63」から、旧シマンテックブランドの証明書を無効にすると公表している。
常時対応に駆け込み依頼が集中も
「影響を受ける企業のWebサイトが続出する恐れがある。特に金融機関や中小のEC(電子商取引)サイトは対策を急ぐ必要がある」。日本インターネットプロバイダー協会(JAIPA)常任理事の秋山卓司氏は警鐘を鳴らす。
Chromeで非対応サイトにアクセスした際の警告表示を回避する方策が、常時SSL/TLS化だ。具体的にはサーバー証明書を導入して、各サイトのURLを「HTTPS」で始まる文字列に変更する必要がある。
ただし相応の時間とコストがかかる。ITベンダーに駆け込みの対応依頼が集中する恐れがあるからだ。自社サイト以外からリンクする際のURLなども変更する必要もある。従来はパスワード入力や決済など一部のサイトだけ暗号化するのが一般的だった。
サーバー証明書の中でも旧シマンテックブランドの証明書を使い続ける場合は、証明書そのものを再発行する必要がある。シマンテックから同事業を買収した米デジサートは、Chromeで警告が出るかどうかをチェックできるWebサイトを公開している。該当する証明書を使っている場合は無償で再発行できる。
