-- Steven Paul Jobs, この議論は賞味期限が切れたので、アーカイブ化されています。 2017年のAppleオペレーティングシステムのセキュリティアップデートに伴い、SafariおよびWebKitのTransport Layer Security(TLS)で使用されていた、SHA-1で署名された証明書のサポートは終了しました。 Comments owned by the poster. はに への返信, radiusサーバを設定したことがないので、わからないのですが、ルート証明書や中間証明書のインポートして、その証明書発行機関のクライアント証明書に対して、許可するような設定するのかと想像するのですが、まっ、メーカさんに聞いてみます。, 2019/10/26 21:17 みきみきの実 への返信 証明書発行機関が発行する証明書って、通常でも1-2年とか短いものが多いのでは? また3年以上の有効期間のものは発行しないといっても、例えば、2年間有効の証明書を2回以上発行するという契約は可能(交渉次第)なのでは? みきみきの実 への返信, > 証明書発行機関各社のサイトを見ると、サーバ証明書の3年発行に関して、今後発行しない, また3年以上の有効期間のものは発行しないといっても、例えば、2年間有効の証明書を2回以上発行するという契約は可能(交渉次第)なのでは?証明書はクラッキングなどの事故があれば即失効になり、次の証明書を発行します。証明機関はクラッキングなどの事故に未然に対応するという意味でも通常あまり長期間の証明書は発行しないと思います。証明書って、保険と違って、利用者(利用社?、利用組織?)側の管理がずさんならクラッキングのような事故は起こりやすいですから、証明書発行機関側はそのリスクを考えてると思います。証明書を再発行となればそれに対応する人員も必要になり、それなりに経費もかかります。, 発行機関のルート証明書は自分たちで厳格に管理できるので長期間のものを利用してるようですけど。, 2019/10/25 05:38 品川地蔵 への返信 一部のみ表示. 2020年02月20日にスロバキアで行われたCA/Browser ForumにおいてAppleは、「2020年9月1日以降に発行するSSLサーバ証明書の有効期間を398日に制限する」と発表しました。 iOS 12, 2019/10/23 21:05 みきみきの実 への返信 はに への返信, 証明書発行機関各社のサイトを見ると、サーバ証明書の3年発行に関して、今後発行しないようなお知らせが出ています, なので、3年とかで発行できるけど、ios13は825日を過ぎると、クライアント証明書は利用できなくなり、無線apに接続できない?そうです。tlsサーバのサーバ証明書に関する要件なので、クライアント証明書の交換の時の暗号化のことなのか、それとも、クライアント証明書をiosがピックアップする際に、証明書発行機関に対して、照合プロセスがあり、そのときに暗号化通信になるのか、どこのことを言っているのか、きいたのですが、無視でした。で、確認して見るかと, 2019/10/24 08:46 みきみきの実 への返信 Trademarks property of their respective owners. みきみきの実 への返信, もし、サーバ証明書発行機関が用意したのなら、クライアント証明書も変更することになると思います。もし、ネットワーク管理者(サーバ管理者)が管理してるサーバの秘密鍵を利用して自身で用意したのなら、変更せずに済ますことは可能かもしれません。, 2019/10/27 20:32 はに への返信 Apple Push証明書を発行したときに使用されたApple IDは、お忘れになりませんようご注意お願い します。Apple Push証明書の更新時(1年に1回)に必要となります。Apple Push証明書の有効期 限が切れた場合、本製品はご利用いただけなくなりますのでご注意ください。 みきみきの実 への返信, 何か機器を導入したら最初に用意された証明書は機器を変えない限り変更できないというふうに思っておられるような書きぶりですが、証明書はいつでも変更できます。どんな機器でも証明書の変更はできるようになってます。証明書の期限が切れる前に新しい証明書に更新すれば良いだけです。このとき同じ証明書発行機関に更新してもらっても良いし、全く別の発行機関に変えようが条件などを考慮して決めれば良いだけの話です。, もちろんサーバの証明書を変更すればクライアントの証明書も全部変更する必要があります。これは面倒なので(ネットワーク管理者が新しいサーバ証明書の元で全てのクライアントの証明書を発行する必要がある。証明書発行機関が全てのクライアント証明書を発行してくれたとしても、それを各クライアントに配布・交換してもらうのは管理者の仕事)、eap-tlsではクライアント証明書がいらない方式(PEAPとかTTLS)がよく利用されてると思います。, 2019/10/26 07:23 はに への返信 2020年9月1日 00:00 (GMT/UTCTLS) 以降に発行されたサーバ証明書は、有効期間が 398 日間を超えないものとします。今回の変更は、iOS、iPadOS、macOS、watchOS、tvOS でプレインストールされるルートCAが発行するTLSサーバ証明書にのみ適用されます。また、2020年9月1日以降に発行されるTLS サーバ証明書にのみ適用され、その日付以前に発行された証明書は、今回の変更の影響を受けません。, この話の発端は2019年までにさかのぼり、ポリシーの提案者はGoogleでAppleやMozillaはこれに賛同していましたが、これがCA側の反対により否決されたため、AppleのSecure Transport Teamはユーザーセキュリティを第一として、このポリシーを強行すると発表。現在は以下のようにGoogleとMozillaも同じポリシーを採用すると発表しています。, このポリシーの変更は2020年09月01日以降に発行されるTLSサーバ証明書に適用されるため、2020年08月31日までに発行された証明書は影響を受けませんが、Web管理者は今後有効期限が398日を上回るTLSサーバ証明書を購入しても、398日後には新しい要件に違反するTLSサーバとして接続が認められなくなるので注意してください。, Apple, Safari, SSL, TLS, セキュリティ, 署名, 証明書 Member Center を表示します。 2-2.iOS Apps の Certificatesをクリック. はに への返信, さて、再度メーカーに確認したところ、クライアント証明書には影響はなく、発言は誤りであることを説明されました。, 最後に、はにさまに、一点ご教授願いたいのですが、「サーバ証明書を更新した場合、クライアント証明書も全て変更する必要がある」の内容は、どちらを意図されていますでしょうか, 2019/10/26 14:45 みきみきの実 への返信 品川地蔵 への返信, まず、アップルで公開されている要件は、クライアント証明書の要件ではなく、tlsサーバのサーバ証明書の要件である点です, ・ルート/中間証明書(これも該当しないと思うけど、発行機関を27ヶ月ごとに切り替えるのか?), 有効期間の件は、クライアント証明書の利用用途(無線lan,vpn,webアプリ認証、デバイスの更新周期、利用者)に合わせて、有効期間を決めるのでしょうね, 2019/10/25 09:25 みきみきの実 への返信 新たにコメントを付けることはできません。, 86,401 秒が1日の日があるけど考慮しないで計算すると398 日になりますという話かと, 英語サイトのリンクを併記で張られても、英語で同じことが書いてあるんだろうなとしか思わんから読まないので. みきみきの実 への返信, 普通は証明書の期限が来る前に管理者が各クライアントに新しい証明書を発行するのでは?, メーカが825日までしか利用できないというのなら、そのメーカの製品を使うのはやめれば良いのでは?, 2019/10/23 22:03 はに への返信 はに への返信, 何か論点がずれてきているので、ちょっと巻き戻しますね。はにさまの「もちろんサーバの証明書を変更すればクライアントの証明書も全部変更する必要があります。」に引っかかったので、その真意を聞いています。, 2019/10/27 14:29 みきみきの実 への返信 クライアント証明書の825日 はに への返信, 質問: みきみきの実 への返信, そんな必要はないですよ。サーバ証明書があれば、あとはネットワーク管理者がクライアント証明書を必要なだけ発行すれば良いのですが。, 証明書って、要するに自分の情報と公開鍵を上位の証明書で署名したもの(上位の証明書発行機関の秘密鍵で暗号化したもの)ですから。クライアントは上位の証明書発行機関の公開鍵を使ってこの証明書からサーバ情報とサーバの公開鍵をゲットできます。クライアントは上位の証明書発行機関の公開鍵を使って得られた情報ですから、そのサーバ情報を正しいものと確認できます。, この証明書関係のことは、メッセージの暗号化、公開鍵、秘密鍵のアウトラインでも勉強して自分でオレオレ証明書でも作ってみればよく分かるようになります。オレオレ証明書そのものは本番では使えません(オレオレ証明書では信頼できる証明書とみなされない)が、大元のcaを証明書発行機関のものに置き換えるだけの話です。macosにもこれら証明書関係のものを作ったり署名したりするためのソフト、opensslに相当するliblesslが入ってます。アップルはライセンス条件が気に入らないとかの理由で、high sierraからopensslをmacosに同梱することをやめたようです。mojave(10.14.6)のターミナルでman opensslとすれば長い長い説明が出てきます。でもopenssl versionとするとLibereSSL 2.6.5と出てきます。キーチェーンはそれをもっと簡単に使えるようにしたものです。もっともキーチェーンでオレオレ証明書を作れるかどうかは知りません。でも、ターミナルでopensslを直接操作すれば問題なく作れます。linuxにも標準で用意されてます。windowsにはデフォールトでは入ってないそうですが、インストールキットは用意されてるようです。証明書関係のことは、現代のコンピュータ間の暗号化通信の核になってる手法ですから勉強しておく価値はあります。, 2019/10/27 00:49 はに への返信 証明書署名要求(CSR)が上記の手順で作成できました。次は、Apple Developer Programから証明書を作成します。 2-1.Apple Developer Centerへログイン. iPhone iPad Mac Apple Watch Apple ID Apple Pay Apple TV iCloud Homepod 写真 ミュージック, 世界で最も先を行くデスクトップ OS のパワーと美しさを、次のレベルへ。macOS Big Sur の登場です。この機会にアップデートして macOS Big Sur フォーラムディスカッションにご参加ください。, しばらく返答が寄せられていないようです。 Appleが2020年9月1日以降に発行されたTLSサーバ証明書の最大有効期間を825日から398日に短縮しています。詳細は以下から。, Appleは今年(2020年)03月、Web管理者やアプリの開発者に対し、Webセキュリティの向上を理由にGMT/UTCTLS(協定世界時/グリニッジ標準時TLS)で2020年09月01日以降に発行されたTLSサーバ認証書の有効期限を、これまでの最大825日(2年と猶予期間の3ヶ月)から最大398日(1年と1ヶ月)に変更すると発表しましたが、本日よりこの変更が施行されています。, 変更点 すべて表示 Apple、2020年9月1日以降に発行されたTLSサーバ証明書の最大有効期間を825日から398日に短縮。今後、新しい要件に違反するTLSサーバへの接続は失敗するので注意を。 SHA-1証明書のサポート終了. 2020年9月1日以降、Chrome、Safari、Firefoxといった主要ブラウザで、SSL/TLS証明書の有効期限が最大13か月間(398日間)に制限される(マイナビ)。変更された経緯は過去記事にもあるように、2020年3月3日にAppleが発表した方針に、GoogleやMozillaも同調、各ブラウザが有効期限を最大398日間にする方針を固めたことにある。 これまでは最大825日間(約27か月間)だったが、2年以上も期間、証明書の所有者の会社名や氏名などの情報が更新されないことになり、セキュリティ上の問題があったとされる。13か月と1年より少し長いのは更新に猶予を持たせるためで、SSL/TLS証明書の有効期間は事実上は1年間という考えであるという。今回、実質的に1年間に制限することにより、SSL/TLS証明書に問題が発見された場合の対応がしやすくなるとしている。 2020年9月1日以降に発行されるSSL/TLS証明書では、398日を超えたものに関しては事実上使い物にならなくなるという。ちなみに9月1日以前に発行されたものに関しては、このポリシーは適用されないそうだ。, 発行機関から「期限切れますよメール」受け取って手動更新する運用は実質的に破綻してるってこと。, Let's Encryptの証明書がAndroid 7.1より前で信頼されなくなることで、もう商用サイトでは事実上使用不可になった。, https://www.zaikei.co.jp/article/20200812/580387.html [zaikei.co.jp], ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。, 例えばさくらのレンタルサーバは「暫定的な対策として、現行のIdenTrustのルート証明書のままサーバー証明書を発行できるオプション」を使用するとの, その古いAndroidを使う層はサイトやアプリが見れなければもう諦めるか別の方法を探すだろうし合わせる価値はないよ, 何言ってるんだろう例えば、月200万円のコンバージョンのサイトで、ユーザの1割を切り捨てたとする。すると、月20万円、年240万円の損失になる。もっと小規模な個人運営の月10万のコンバージョンのアフィリエイトサイトであっても、年120万円の1割で年12万の損失になる。有料サーバ証明書なんて年1000円で買えるので、買った方が得だろう。, > もう諦めるか別の方法を探す他の方法に他社のサイトを使う、が含まれる以上、ビジネスとして使い物にならないという結論は変わらない。, Let's Encryptを使ってるところはそれ以外の手段を知らないところもありそう誰に頼めばいい?ってレベルからもちろん外注しても売上から考えたら得だが精神障壁になりそう, それは「Android 7.1未満を使っている客が貧困層に集中したりはしていない」という前提ですよね, そんな古いバージョンのAndroidに固執している接続者(あえてユーザとは言わん)がどれくらいの売り上げに相当しているのか精査してみた事はあるか?, 新しもの好きの若者よりも、古いスマホを使いづづけているお年寄りの方がお金持ってたりするんだよ?, それが、ガラケーを使い続けているお年寄りの方がお金を持っていたとしても、WebサーバーをあえてSSLに対応させると言うことにはならないでしょう。, 利用者のブラウザUA情報からAndroid 7.1未満のユーザ数が何パーセントいるのか、を調べることすら「精査」になるのか, そのレベルでいいなら、#3874241 の「ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。」で結論出てますよね。, 「どれくらいの売り上げに相当しているのか」というのならば、UserAgent と売上を関連付けなくてはならない。つまりはショッピングカート等のシステム改修まで必要になるんですが。普通に最低でも数十万円かかる案件ですよ。そんな精査をするぐらいなら証明書買った方が安いでしょ。, これ、最終的にはAndroid側が対応せざるを得なくなると思う。特にキャリア経由で販売したものはルート証明書更新のアップデートが配布されることになるかと。, 切り替えが延長されているのは、時間稼ぎさせてくれといった要望があまりにも多かったんじゃない?それでも対応しきれなくなればLet's Encrypt側にカネ払ってでも土壇場で延長してくれって申し出てくる業者が現れるよ。, 延長したところでDST Root CA X3の期限が2021年9月30日だからその期限は絶対突破できないけど。, 商用なら金払えよと。タダより安いものはないという言葉があるし。タダじゃなきゃヤダヤダ許さないとぬかす事業者は大抵ろくなもんじゃないので滅ぼすべき。, 商用で金払うものの方が時間も手間もかかるってどんなギャグかとタダかどうかより手続きの煩雑さを嫌ってるんだよ, DV証明書に関しては全く壁にならんけどな。むしろ機械的なチェックで発行する方がソーシャルエンジニアリングが防げる。, 首相官邸 (2019/7/31〜2021/08/31) [kantei.go.jp] や 内閣法制局 (2019/02/04〜2021/04/06) [clb.go.jp] 財務省 (2019/09/17〜2021/09/17) [mof.go.jp] など、2年ってところが多いようですが、大丈夫なんですかね?, ちなみに9月1日以前に発行されたものに関しては、このポリシーは適用されないそうだ。, というよりギリギリまで粘って2年更新してやろうと目論んでいたら、うちの使ってるCAは8/17で2年証明書の発行をやめていた [fujissl.jp]でござる, 2年以上も期間、証明書の所有者の会社名や氏名などの情報が更新されないことになり、セキュリティ上の問題があったとされる。, 所有者の会社名や氏名をろくに確認もしない、手続きが楽ちんな認証局が人気を博すもある日それがバレて各ブラウザにおけるプリインストールされたルート証明書から排除される事件が起きたりして, ルート証明書となったら、3年前に適当に発行した奴が、 [security.srad.jp] 失効した時 [security.srad.jp]より騒ぎになるね。, Domain Validation証明書なら、それが許されていますよ。そもそも問題ありません。, EV証明書とか年10万円以上掛かるが、HTTPSにして経路暗号化するだけで「情報が更新されないことになり、セキュリティ上の問題」という話が全然理解できない。長い期間だと総当りで暗号化解読されてしまうという話なんだろうか?無料もあるけど、大手企業がやると利益誘導にも見える, 電子証明書の役割は、経路暗号化と、意図した通信相手であるかという2点。ログインパスワードやクレジットカード情報を送信する際は、経路が暗号化されているだけでは不十分で、通信相手が信頼に足るかどうかを証明書の情報で確認する必要がある。ところが、世界中で毎年ごまんという数の組織が変更や解散をしている中で、証明書の情報が古いままだと、意図した通信相手かどうかの判断ができない。そういうのが増えるとPKIとしての信頼が揺るぎかねない。, つまり短縮はEV証明書以上の信用のある証明書だけで十分って事では。ドメイン証明書なんてドメイン取ればどうとでも取得できるし。, SHA-2への移行にやたら時間がかかった理由の1つがやたらに有効期限の長いSHA-1証明書の存在, アップル「398 日は、86,400 秒を日数に換算した数値です。」ttps://support.apple.com/ja-jp/HT211025ttps://support.apple.com/en-us/HT211025, より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。, Stay hungry, Stay foolish.
可愛いヘアゴム 子供 手作り ビーズ 6, ハルジオン 歌詞 魔王魂 17, 京都橘大学 偏差値 ランキング 25, ドラクエ10 釣り コイン稼ぎ 4, アイリスオーヤマ テレビ ユーチューブ 21, フォートナイト ハブ攻略 最新 6, 動物 知能 何歳 17, Escape Rx Disc 在庫 11, Sqlserver カタログと は 14, Oracle Blob Csv出力 8, Access Vba ファイルを閉じる 4, 日本 エコ クリーン 評判 2ch 12, Japanese Name Converter 4, 全国 中学 陸上 ジュニアオリンピック 2020 8, パワーオン2 和訳 Lesson3 パート 2 4, Zoom スマホ 全員表示 20, フォートナイト ペアレンタルコントロール 暗証番号 入力�%8 5, Videoproc 画面録画 時間 10, Iphone デモ モード 解除 5, Dell デスクトップ 分解 5, パワプロ2020 予約 ダウンロード 4, スマホ ガラスフィルム さらさら 6,