SHA-1証明書のサポート終了. 証明書発行機関が発行する証明書って、通常でも1-2年とか短いものが多いのでは? また3年以上の有効期間のものは発行しないといっても、例えば、2年間有効の証明書を2回以上発行するという契約は可能(交渉次第)なのでは?

証明書署名要求(CSR)が上記の手順で作成できました。次は、Apple Developer Programから証明書を作成します。 2-1.Apple Developer Centerへログイン.

2020年9月1日 00:00 (GMT/UTCTLS) 以降に発行されたサーバ証明書は、有効期間が 398 日間を超えないものとします。今回の変更は、iOS、iPadOS、macOS、watchOS、tvOS でプレインストールされるルートCAが発行するTLSサーバ証明書にのみ適用されます。また、2020年9月1日以降に発行されるTLS サーバ証明書にのみ適用され、その日付以前に発行された証明書は、今回の変更の影響を受けません。, この話の発端は2019年までにさかのぼり、ポリシーの提案者はGoogleでAppleやMozillaはこれに賛同していましたが、これがCA側の反対により否決されたため、AppleのSecure Transport Teamはユーザーセキュリティを第一として、このポリシーを強行すると発表。現在は以下のようにGoogleとMozillaも同じポリシーを採用すると発表しています。, このポリシーの変更は2020年09月01日以降に発行されるTLSサーバ証明書に適用されるため、2020年08月31日までに発行された証明書は影響を受けませんが、Web管理者は今後有効期限が398日を上回るTLSサーバ証明書を購入しても、398日後には新しい要件に違反するTLSサーバとして接続が認められなくなるので注意してください。, Apple, Safari, SSL, TLS, セキュリティ, 署名, 証明書 みきみきの実 への返信, そんな必要はないですよ。サーバ証明書があれば、あとはネットワーク管理者がクライアント証明書を必要なだけ発行すれば良いのですが。, 証明書って、要するに自分の情報と公開鍵を上位の証明書で署名したもの(上位の証明書発行機関の秘密鍵で暗号化したもの)ですから。クライアントは上位の証明書発行機関の公開鍵を使ってこの証明書からサーバ情報とサーバの公開鍵をゲットできます。クライアントは上位の証明書発行機関の公開鍵を使って得られた情報ですから、そのサーバ情報を正しいものと確認できます。, この証明書関係のことは、メッセージの暗号化、公開鍵、秘密鍵のアウトラインでも勉強して自分でオレオレ証明書でも作ってみればよく分かるようになります。オレオレ証明書そのものは本番では使えません(オレオレ証明書では信頼できる証明書とみなされない)が、大元のcaを証明書発行機関のものに置き換えるだけの話です。macosにもこれら証明書関係のものを作ったり署名したりするためのソフト、opensslに相当するliblesslが入ってます。アップルはライセンス条件が気に入らないとかの理由で、high sierraからopensslをmacosに同梱することをやめたようです。mojave(10.14.6)のターミナルでman opensslとすれば長い長い説明が出てきます。でもopenssl versionとするとLibereSSL 2.6.5と出てきます。キーチェーンはそれをもっと簡単に使えるようにしたものです。もっともキーチェーンでオレオレ証明書を作れるかどうかは知りません。でも、ターミナルでopensslを直接操作すれば問題なく作れます。linuxにも標準で用意されてます。windowsにはデフォールトでは入ってないそうですが、インストールキットは用意されてるようです。証明書関係のことは、現代のコンピュータ間の暗号化通信の核になってる手法ですから勉強しておく価値はあります。, 2019/10/27 00:49 はに への返信

電子証明書の役割は、経路暗号化と、意図した通信相手であるかという2点。 ログインパスワードやクレジットカード情報を送信する際は、経路が暗号化されているだけでは不十分で、通信相手が信頼に足るかどうかを証明書の情報で確認する必要がある。 SSL/TLS証明書、9月1日以降の発行分は有効期間が実質1年間に。主要ブラウザの仕様変更で, 物理キーボードを搭載するBlackBerryブランドの5Gスマートフォン、米スタートアップ企業が発売へ, Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か, IoTデバイス「うんこボタン」、サーバー側のSSL/TLS証明書失効により全回収・交換に, 無料SSL「Let’s Encrypt」のルート証明書がすべての端末で直接信頼されるには5年必要, 上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる, https://www.zaikei.co.jp/article/20200812/580387.html. Appleが2020年9月1日以降に発行されたTLSサーバ証明書の最大有効期間を825日から398日に短縮しています。詳細は以下から。, Appleは今年(2020年)03月、Web管理者やアプリの開発者に対し、Webセキュリティの向上を理由にGMT/UTCTLS(協定世界時/グリニッジ標準時TLS)で2020年09月01日以降に発行されたTLSサーバ認証書の有効期限を、これまでの最大825日(2年と猶予期間の3ヶ月)から最大398日(1年と1ヶ月)に変更すると発表しましたが、本日よりこの変更が施行されています。, 変更点 はに への返信, 何か論点がずれてきているので、ちょっと巻き戻しますね。はにさまの「もちろんサーバの証明書を変更すればクライアントの証明書も全部変更する必要があります。」に引っかかったので、その真意を聞いています。, 2019/10/27 14:29 みきみきの実 への返信 2020年02月20日にスロバキアで行われたCA/Browser ForumにおいてAppleは、「2020年9月1日以降に発行するSSLサーバ証明書の有効期間を398日に制限する」と発表しました。

みきみきの実 への返信, もし、サーバ証明書発行機関が用意したのなら、クライアント証明書も変更することになると思います。もし、ネットワーク管理者(サーバ管理者)が管理してるサーバの秘密鍵を利用して自身で用意したのなら、変更せずに済ますことは可能かもしれません。, 2019/10/27 20:32 はに への返信 みきみきの実 への返信, 何か機器を導入したら最初に用意された証明書は機器を変えない限り変更できないというふうに思っておられるような書きぶりですが、証明書はいつでも変更できます。どんな機器でも証明書の変更はできるようになってます。証明書の期限が切れる前に新しい証明書に更新すれば良いだけです。このとき同じ証明書発行機関に更新してもらっても良いし、全く別の発行機関に変えようが条件などを考慮して決めれば良いだけの話です。, もちろんサーバの証明書を変更すればクライアントの証明書も全部変更する必要があります。これは面倒なので(ネットワーク管理者が新しいサーバ証明書の元で全てのクライアントの証明書を発行する必要がある。証明書発行機関が全てのクライアント証明書を発行してくれたとしても、それを各クライアントに配布・交換してもらうのは管理者の仕事)、eap-tlsではクライアント証明書がいらない方式(PEAPとかTTLS)がよく利用されてると思います。, 2019/10/26 07:23 はに への返信

はに への返信, 質問: すべて表示 はに への返信, さて、再度メーカーに確認したところ、クライアント証明書には影響はなく、発言は誤りであることを説明されました。, 最後に、はにさまに、一点ご教授願いたいのですが、「サーバ証明書を更新した場合、クライアント証明書も全て変更する必要がある」の内容は、どちらを意図されていますでしょうか, 2019/10/26 14:45 みきみきの実 への返信