Appleは、9月1日より安全なウェブサイト向けのSafariのセキュリティを強化すると発表しました。同日以降、Safariは過去13ヶ月以内に発行されたHTTPS証明書のみを受け入れるようになります。

これは技術的な変更のように聞こえますが、2 つの異なるリスクに対する保護が強化されるはずです...

背景

HTTPSは、標準ウェブプロトコルHTTPの安全なバージョンです。ユーザーとサーバー間の通信は双方向で暗号化されます。

HTTPSは、いわゆる「中間者攻撃」から保護します。これは、誰かが一見無害そうな名前のWi-Fiホットスポットを作成し、そこを通過するすべてのトラフィックをキャプチャする攻撃です。通常のHTTPでは、ユーザー名やパスワードを含むすべてのコンテンツが平文で送信されます。HTTPSでは、攻撃者が取得できるのは意味不明な文字列だけです。

ブラウザがHTTPSウェブサイトに接続する場合、そのサイトが有効なセキュリティ証明書を持っているかどうかを確認します。これは、サイトが実際に暗号化されていることを第三者機関が監査したという証明となります。

証明書は、ウェブサイトが発行時点で最新のHTTPS暗号化規格を使用していたことを示すだけなので、発行日が古いということは、サイトが最新のセキュリティ対策を使用していないリスクが高まっていることを意味します。また、証明書が攻撃者によって侵害され、無効になってしまう危険性もあります。証明書の有効期間を短縮することで、このリスクも軽減されます。

AppleがSafariのセキュリティ強化を発表

Safariはこれまで、発行日から825日以内の証明書を受け入れていました。TNW の報道によると、Safariは9月1日以降、発行日から398日（13か月）以上経過した証明書を拒否すると発表しました。つまり、Safariは証明書が期限切れであることを警告し、サイトへの接続を控えるよう促すことになります。

これによりユーザーの安全性は向上する一方で、Appleの計画には予期せぬ結果が生じる可能性があると指摘する声もあります。ウェブサイトがサードパーティのサービスへの依存度を高めるという声もあります。たとえ無料のサービスであっても、サービスが停止したり、セキュリティが侵害されたりするリスクがあります。

ただし、多くのサイトは WordPress などの大規模なクラウド サイトでホストされており、ホスティング会社が証明書を管理するため、ほとんどのサイトでは大きな問題にはならない可能性があります。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。