-- Steven Paul Jobs, この議論は賞味期限が切れたので、アーカイブ化されています。 2017年のAppleオペレーティングシステムのセキュリティアップデートに伴い、SafariおよびWebKitのTransport Layer Security(TLS)で使用されていた、SHA-1で署名された証明書のサポートは終了しました。 クライアント証明書の825日 はに への返信, radiusサーバを設定したことがないので、わからないのですが、ルート証明書や中間証明書のインポートして、その証明書発行機関のクライアント証明書に対して、許可するような設定するのかと想像するのですが、まっ、メーカさんに聞いてみます。, 2019/10/26 21:17 みきみきの実 への返信 @applechinfo, 複数のスパムフィルタをかけていますので、コメントが反映されない場合はコンタクトフォームでご連絡下さい。, Apple、macOS 11 Big SurのTime Machin機能にAPFSフォーマットを採用。より高速でコンパクトなバックアップが可能に。, Adobe、macOS 11 Big SurとIntel/M1プロセッサを搭載したMacで発生しているPhotoshop/Lightroomの既知の不具合を公開。, Apple、macOS 11 Big Surの起動可能なインストーラの作成方法を公開。, システム障害により本日リリースされた「macOS 11 Big Sur」がダウンロードできない状態に。, Apple M1チップを搭載したMacBook AirやMac miniと思われるベンチマークスコアがGeekbenchに公開され、i9-9980HKのMacBook Pro 16インチを超えるスコアに。, macOS 11 Big SurではApple H1ヘッドフォンチップ搭載のAirPodsなどで、使用中のAppleデバイスへオーディオをシームレスに切り替えてくれる「デバイスの自動切り替え」機能が利用可能。, macOS 11 Big SurでフルハイトのサイドバーになったFinderやアプリではフォルダ名にマウスをホバーすることでアイコンが表示される仕様になっているので注意を。, PFUのScanSnapやHHKB各機種がmacOS 11 Big Surに対応。, macOS 11 Big Surでは通知センターアイコンが廃止され、代わりに時計アイコンから通知やウィジェットを表示。, macOS 11 Big Surでは壁紙や背景の色合いでアプリケーションウィンドウのアピアランスカラーを調整させない設定が可能に。. はに への返信, 証明書発行機関各社のサイトを見ると、サーバ証明書の3年発行に関して、今後発行しないようなお知らせが出ています, なので、3年とかで発行できるけど、ios13は825日を過ぎると、クライアント証明書は利用できなくなり、無線apに接続できない?そうです。tlsサーバのサーバ証明書に関する要件なので、クライアント証明書の交換の時の暗号化のことなのか、それとも、クライアント証明書をiosがピックアップする際に、証明書発行機関に対して、照合プロセスがあり、そのときに暗号化通信になるのか、どこのことを言っているのか、きいたのですが、無視でした。で、確認して見るかと, 2019/10/24 08:46 みきみきの実 への返信 2020年9月1日 00:00 (GMT/UTCTLS) 以降に発行されたサーバ証明書は、有効期間が 398 日間を超えないものとします。今回の変更は、iOS、iPadOS、macOS、watchOS、tvOS でプレインストールされるルートCAが発行するTLSサーバ証明書にのみ適用されます。また、2020年9月1日以降に発行されるTLS サーバ証明書にのみ適用され、その日付以前に発行された証明書は、今回の変更の影響を受けません。, この話の発端は2019年までにさかのぼり、ポリシーの提案者はGoogleでAppleやMozillaはこれに賛同していましたが、これがCA側の反対により否決されたため、AppleのSecure Transport Teamはユーザーセキュリティを第一として、このポリシーを強行すると発表。現在は以下のようにGoogleとMozillaも同じポリシーを採用すると発表しています。, このポリシーの変更は2020年09月01日以降に発行されるTLSサーバ証明書に適用されるため、2020年08月31日までに発行された証明書は影響を受けませんが、Web管理者は今後有効期限が398日を上回るTLSサーバ証明書を購入しても、398日後には新しい要件に違反するTLSサーバとして接続が認められなくなるので注意してください。, Apple, Safari, SSL, TLS, セキュリティ, 署名, 証明書 一部のみ表示. iPhone   iPad   Mac   Apple Watch   Apple ID   Apple Pay   Apple TV   iCloud   Homepod   写真  ミュージック, 世界で最も先を行くデスクトップ OS のパワーと美しさを、次のレベルへ。macOS Big Sur の登場です。この機会にアップデートして macOS Big Sur フォーラムディスカッションにご参加ください。, しばらく返答が寄せられていないようです。 みきみきの実 への返信, えーっと、件のページ情報を見ると証明書の期限が825日としていますが、これは825日経つとiOSデバイスが使えなくなるという意味ではではなく、825日の期限内に次の証明書を出せよ。ってことじゃないですか?一般的なクライアント証明書でも、期限が切られていることが少なくないので、別に問題になるほどではないと思います。, 2019/10/24 10:11 みきみきの実 への返信 電子証明書の役割は、経路暗号化と、意図した通信相手であるかという2点。 ログインパスワードやクレジットカード情報を送信する際は、経路が暗号化されているだけでは不十分で、通信相手が信頼に足るかどうかを証明書の情報で確認する必要がある。 SSL/TLS証明書、9月1日以降の発行分は有効期間が実質1年間に。主要ブラウザの仕様変更で, 物理キーボードを搭載するBlackBerryブランドの5Gスマートフォン、米スタートアップ企業が発売へ, Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か, IoTデバイス「うんこボタン」、サーバー側のSSL/TLS証明書失効により全回収・交換に, 無料SSL「Let’s Encrypt」のルート証明書がすべての端末で直接信頼されるには5年必要, 上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる, https://www.zaikei.co.jp/article/20200812/580387.html. みきみきの実 への返信, 何か機器を導入したら最初に用意された証明書は機器を変えない限り変更できないというふうに思っておられるような書きぶりですが、証明書はいつでも変更できます。どんな機器でも証明書の変更はできるようになってます。証明書の期限が切れる前に新しい証明書に更新すれば良いだけです。このとき同じ証明書発行機関に更新してもらっても良いし、全く別の発行機関に変えようが条件などを考慮して決めれば良いだけの話です。, もちろんサーバの証明書を変更すればクライアントの証明書も全部変更する必要があります。これは面倒なので(ネットワーク管理者が新しいサーバ証明書の元で全てのクライアントの証明書を発行する必要がある。証明書発行機関が全てのクライアント証明書を発行してくれたとしても、それを各クライアントに配布・交換してもらうのは管理者の仕事)、eap-tlsではクライアント証明書がいらない方式(PEAPとかTTLS)がよく利用されてると思います。, 2019/10/26 07:23 はに への返信 みきみきの実 への返信, 普通は証明書の期限が来る前に管理者が各クライアントに新しい証明書を発行するのでは?, メーカが825日までしか利用できないというのなら、そのメーカの製品を使うのはやめれば良いのでは?, 2019/10/23 22:03 はに への返信 Member Center を表示します。 2-2.iOS Apps の Certificatesをクリック. みきみきの実 への返信, > 証明書発行機関各社のサイトを見ると、サーバ証明書の3年発行に関して、今後発行しない, また3年以上の有効期間のものは発行しないといっても、例えば、2年間有効の証明書を2回以上発行するという契約は可能(交渉次第)なのでは?証明書はクラッキングなどの事故があれば即失効になり、次の証明書を発行します。証明機関はクラッキングなどの事故に未然に対応するという意味でも通常あまり長期間の証明書は発行しないと思います。証明書って、保険と違って、利用者(利用社?、利用組織?)側の管理がずさんならクラッキングのような事故は起こりやすいですから、証明書発行機関側はそのリスクを考えてると思います。証明書を再発行となればそれに対応する人員も必要になり、それなりに経費もかかります。, 発行機関のルート証明書は自分たちで厳格に管理できるので長期間のものを利用してるようですけど。, 2019/10/25 05:38 品川地蔵 への返信 Apple Trade Inを利用して使い終わったデバイスを下取りに出すと、新しいApple製デバイスの購入価格が割引になります。または、無料でリサイクルすることもできます。あなたにも地球にも良いニュース … みきみきの実 への返信, そんな必要はないですよ。サーバ証明書があれば、あとはネットワーク管理者がクライアント証明書を必要なだけ発行すれば良いのですが。, 証明書って、要するに自分の情報と公開鍵を上位の証明書で署名したもの(上位の証明書発行機関の秘密鍵で暗号化したもの)ですから。クライアントは上位の証明書発行機関の公開鍵を使ってこの証明書からサーバ情報とサーバの公開鍵をゲットできます。クライアントは上位の証明書発行機関の公開鍵を使って得られた情報ですから、そのサーバ情報を正しいものと確認できます。, この証明書関係のことは、メッセージの暗号化、公開鍵、秘密鍵のアウトラインでも勉強して自分でオレオレ証明書でも作ってみればよく分かるようになります。オレオレ証明書そのものは本番では使えません(オレオレ証明書では信頼できる証明書とみなされない)が、大元のcaを証明書発行機関のものに置き換えるだけの話です。macosにもこれら証明書関係のものを作ったり署名したりするためのソフト、opensslに相当するliblesslが入ってます。アップルはライセンス条件が気に入らないとかの理由で、high sierraからopensslをmacosに同梱することをやめたようです。mojave(10.14.6)のターミナルでman opensslとすれば長い長い説明が出てきます。でもopenssl versionとするとLibereSSL 2.6.5と出てきます。キーチェーンはそれをもっと簡単に使えるようにしたものです。もっともキーチェーンでオレオレ証明書を作れるかどうかは知りません。でも、ターミナルでopensslを直接操作すれば問題なく作れます。linuxにも標準で用意されてます。windowsにはデフォールトでは入ってないそうですが、インストールキットは用意されてるようです。証明書関係のことは、現代のコンピュータ間の暗号化通信の核になってる手法ですから勉強しておく価値はあります。, 2019/10/27 00:49 はに への返信 Appleが2020年9月1日以降に発行されたTLSサーバ証明書の最大有効期間を825日から398日に短縮しています。詳細は以下から。, Appleは今年(2020年)03月、Web管理者やアプリの開発者に対し、Webセキュリティの向上を理由にGMT/UTCTLS(協定世界時/グリニッジ標準時TLS)で2020年09月01日以降に発行されたTLSサーバ認証書の有効期限を、これまでの最大825日(2年と猶予期間の3ヶ月)から最大398日(1年と1ヶ月)に変更すると発表しましたが、本日よりこの変更が施行されています。, 変更点 みきみきの実 への返信, はにさんが書かれているように、証明書を825日以内に再発行すれば良いだけの話ではないのですか?, そのメーカーというのは何のメーカーですか? 無線LANアクセスポイントのメーカー? それとも, クライアント証明書を使うとすれば、クライアント(iOS)側もサーバー(アクセスポイント)の証明書を, 確認すると思うのですが、こちらも当然825日の制限がかかると思いますが、こちらの更新が825日以内, 2019/10/24 09:00 みきみきの実 への返信 Apple、2020年9月1日以降に発行されたTLSサーバ証明書の最大有効期間を825日から398日に短縮。今後、新しい要件に違反するTLSサーバへの接続は失敗するので注意を。 iOS 12, 2019/10/23 21:05 みきみきの実 への返信 Apple Push証明書を発行したときに使用されたApple IDは、お忘れになりませんようご注意お願い します。Apple Push証明書の更新時(1年に1回)に必要となります。Apple Push証明書の有効期 限が切れた場合、本製品はご利用いただけなくなりますのでご注意ください。 すべて表示 Comments owned by the poster. Q: はに への返信, 何か論点がずれてきているので、ちょっと巻き戻しますね。はにさまの「もちろんサーバの証明書を変更すればクライアントの証明書も全部変更する必要があります。」に引っかかったので、その真意を聞いています。, 2019/10/27 14:29 みきみきの実 への返信 はに への返信, さて、再度メーカーに確認したところ、クライアント証明書には影響はなく、発言は誤りであることを説明されました。, 最後に、はにさまに、一点ご教授願いたいのですが、「サーバ証明書を更新した場合、クライアント証明書も全て変更する必要がある」の内容は、どちらを意図されていますでしょうか, 2019/10/26 14:45 みきみきの実 への返信 Certificatesをクリックします。 2-3.証明書ファイルの追加 みきみきの実 への返信, もし、サーバ証明書発行機関が用意したのなら、クライアント証明書も変更することになると思います。もし、ネットワーク管理者(サーバ管理者)が管理してるサーバの秘密鍵を利用して自身で用意したのなら、変更せずに済ますことは可能かもしれません。, 2019/10/27 20:32 はに への返信 はに への返信, 質問: 新たにコメントを付けることはできません。, 86,401 秒が1日の日があるけど考慮しないで計算すると398 日になりますという話かと, 英語サイトのリンクを併記で張られても、英語で同じことが書いてあるんだろうなとしか思わんから読まないので. 2020年9月1日以降、Chrome、Safari、Firefoxといった主要ブラウザで、SSL/TLS証明書の有効期限が最大13か月間(398日間)に制限される(マイナビ)。変更された経緯は過去記事にもあるように、2020年3月3日にAppleが発表した方針に、GoogleやMozillaも同調、各ブラウザが有効期限を最大398日間にする方針を固めたことにある。 これまでは最大825日間(約27か月間)だったが、2年以上も期間、証明書の所有者の会社名や氏名などの情報が更新されないことになり、セキュリティ上の問題があったとされる。13か月と1年より少し長いのは更新に猶予を持たせるためで、SSL/TLS証明書の有効期間は事実上は1年間という考えであるという。今回、実質的に1年間に制限することにより、SSL/TLS証明書に問題が発見された場合の対応がしやすくなるとしている。 2020年9月1日以降に発行されるSSL/TLS証明書では、398日を超えたものに関しては事実上使い物にならなくなるという。ちなみに9月1日以前に発行されたものに関しては、このポリシーは適用されないそうだ。, 発行機関から「期限切れますよメール」受け取って手動更新する運用は実質的に破綻してるってこと。, Let's Encryptの証明書がAndroid 7.1より前で信頼されなくなることで、もう商用サイトでは事実上使用不可になった。, https://www.zaikei.co.jp/article/20200812/580387.html [zaikei.co.jp], ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。, 例えばさくらのレンタルサーバは「暫定的な対策として、現行のIdenTrustのルート証明書のままサーバー証明書を発行できるオプション」を使用するとの, その古いAndroidを使う層はサイトやアプリが見れなければもう諦めるか別の方法を探すだろうし合わせる価値はないよ, 何言ってるんだろう例えば、月200万円のコンバージョンのサイトで、ユーザの1割を切り捨てたとする。すると、月20万円、年240万円の損失になる。もっと小規模な個人運営の月10万のコンバージョンのアフィリエイトサイトであっても、年120万円の1割で年12万の損失になる。有料サーバ証明書なんて年1000円で買えるので、買った方が得だろう。, > もう諦めるか別の方法を探す他の方法に他社のサイトを使う、が含まれる以上、ビジネスとして使い物にならないという結論は変わらない。, Let's Encryptを使ってるところはそれ以外の手段を知らないところもありそう誰に頼めばいい?ってレベルからもちろん外注しても売上から考えたら得だが精神障壁になりそう, それは「Android 7.1未満を使っている客が貧困層に集中したりはしていない」という前提ですよね, そんな古いバージョンのAndroidに固執している接続者(あえてユーザとは言わん)がどれくらいの売り上げに相当しているのか精査してみた事はあるか?, 新しもの好きの若者よりも、古いスマホを使いづづけているお年寄りの方がお金持ってたりするんだよ?, それが、ガラケーを使い続けているお年寄りの方がお金を持っていたとしても、WebサーバーをあえてSSLに対応させると言うことにはならないでしょう。, 利用者のブラウザUA情報からAndroid 7.1未満のユーザ数が何パーセントいるのか、を調べることすら「精査」になるのか, そのレベルでいいなら、#3874241 の「ISRGによれば、Android 7.1以降をインストールされた端末はAndroidユーザーの66%ほどとなっており、この変更で残りの3割強が影響を受ける可能性があるとしている。」で結論出てますよね。, 「どれくらいの売り上げに相当しているのか」というのならば、UserAgent と売上を関連付けなくてはならない。つまりはショッピングカート等のシステム改修まで必要になるんですが。普通に最低でも数十万円かかる案件ですよ。そんな精査をするぐらいなら証明書買った方が安いでしょ。, これ、最終的にはAndroid側が対応せざるを得なくなると思う。特にキャリア経由で販売したものはルート証明書更新のアップデートが配布されることになるかと。, 切り替えが延長されているのは、時間稼ぎさせてくれといった要望があまりにも多かったんじゃない?それでも対応しきれなくなればLet's Encrypt側にカネ払ってでも土壇場で延長してくれって申し出てくる業者が現れるよ。, 延長したところでDST Root CA X3の期限が2021年9月30日だからその期限は絶対突破できないけど。, 商用なら金払えよと。タダより安いものはないという言葉があるし。タダじゃなきゃヤダヤダ許さないとぬかす事業者は大抵ろくなもんじゃないので滅ぼすべき。, 商用で金払うものの方が時間も手間もかかるってどんなギャグかとタダかどうかより手続きの煩雑さを嫌ってるんだよ, DV証明書に関しては全く壁にならんけどな。むしろ機械的なチェックで発行する方がソーシャルエンジニアリングが防げる。, 首相官邸 (2019/7/31〜2021/08/31) [kantei.go.jp] や 内閣法制局 (2019/02/04〜2021/04/06) [clb.go.jp] 財務省 (2019/09/17〜2021/09/17) [mof.go.jp] など、2年ってところが多いようですが、大丈夫なんですかね?, ちなみに9月1日以前に発行されたものに関しては、このポリシーは適用されないそうだ。, というよりギリギリまで粘って2年更新してやろうと目論んでいたら、うちの使ってるCAは8/17で2年証明書の発行をやめていた [fujissl.jp]でござる, 2年以上も期間、証明書の所有者の会社名や氏名などの情報が更新されないことになり、セキュリティ上の問題があったとされる。, 所有者の会社名や氏名をろくに確認もしない、手続きが楽ちんな認証局が人気を博すもある日それがバレて各ブラウザにおけるプリインストールされたルート証明書から排除される事件が起きたりして, ルート証明書となったら、3年前に適当に発行した奴が、 [security.srad.jp] 失効した時 [security.srad.jp]より騒ぎになるね。, Domain Validation証明書なら、それが許されていますよ。そもそも問題ありません。, EV証明書とか年10万円以上掛かるが、HTTPSにして経路暗号化するだけで「情報が更新されないことになり、セキュリティ上の問題」という話が全然理解できない。長い期間だと総当りで暗号化解読されてしまうという話なんだろうか?無料もあるけど、大手企業がやると利益誘導にも見える, 電子証明書の役割は、経路暗号化と、意図した通信相手であるかという2点。ログインパスワードやクレジットカード情報を送信する際は、経路が暗号化されているだけでは不十分で、通信相手が信頼に足るかどうかを証明書の情報で確認する必要がある。ところが、世界中で毎年ごまんという数の組織が変更や解散をしている中で、証明書の情報が古いままだと、意図した通信相手かどうかの判断ができない。そういうのが増えるとPKIとしての信頼が揺るぎかねない。, つまり短縮はEV証明書以上の信用のある証明書だけで十分って事では。ドメイン証明書なんてドメイン取ればどうとでも取得できるし。, SHA-2への移行にやたら時間がかかった理由の1つがやたらに有効期限の長いSHA-1証明書の存在, アップル「398 日は、86,400 秒を日数に換算した数値です。」ttps://support.apple.com/ja-jp/HT211025ttps://support.apple.com/en-us/HT211025, より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。, Stay hungry, Stay foolish. Apple は 3 月 3 日、同社の Web サイト において、「今後 Apple 製品が信頼する TLS サーバー証明書の最長有効期間を 398 日にする」と発表しました。この新しいセキュリティポリシーは、2020 年 9 月 1 日以降に発行される証明書に適用されます。 証明書発行機関が発行する証明書って、通常でも1-2年とか短いものが多いのでは? また3年以上の有効期間のものは発行しないといっても、例えば、2年間有効の証明書を2回以上発行するという契約は可能(交渉次第)なのでは? 品川地蔵 への返信, まず、アップルで公開されている要件は、クライアント証明書の要件ではなく、tlsサーバのサーバ証明書の要件である点です, ・ルート/中間証明書(これも該当しないと思うけど、発行機関を27ヶ月ごとに切り替えるのか?), 有効期間の件は、クライアント証明書の利用用途(無線lan,vpn,webアプリ認証、デバイスの更新周期、利用者)に合わせて、有効期間を決めるのでしょうね, 2019/10/25 09:25 みきみきの実 への返信 Trademarks property of their respective owners. みきみきの実 への返信, これは直接自分が関係しているネットワークのサーバ(無線LANの認証サーバ(ラジウスサーバ?)とかメールサーバとか)の(証明書発行機関の中間証明書で署名された)証明書を交換した場合のことを想定して書いてます。クライアントがアクセスした場合、クライアントは証明書発行機関の公開鍵を利用して自分がアクセスしてるサーバが本物であることを確認できますので、そのサーバの公開鍵を使ってメッセージを暗号化しサーバとやりとりします。クライアント側も証明書を利用する場合には、サーバ側がクライアントへのメッセージを送る場合には、クライアント側の公開鍵でメッセージを暗号化します。, サーバの証明書を交換すれば、そのクライアントの証明書も変える必要があります。 eap-tlsで、peapとかttlsとかだと、クライアント側用の証明書は不要ですので、サーバ側の証明書を変えるだけで済みます(クライアント側には、最初に接続した際に自動で公開鍵が渡され、前の公開鍵は失効する)。, 2019/10/26 20:20 はに への返信 再度ディスカッションを開始するには、新たに質問してください。, 無線LAN用にクライアント証明書を発行して、認証しようと思っているのですが、メーカよりiOSは今後825日までしか、利用できないと言われたのですが、本当でしょうか。クライアント証明書は、署名チェックしかしないと思うのですが、無線apに接続する際に、無線ap側でクライアント証明書要求しますが、そのやり取りは、無線apと端末間の通信に依存すると思うのですが, iPhone 6s Plus,

新型車 スクープ ノア 22, 復縁 沈黙 1ヶ月 5, 新型車 スクープ ノア 22, ペット 遺骨 方角 13, ヒロアカ 夢小説 ヒーロー嫌い 16, Funfit ドライブレコーダー 説明書 18, Unity カメラ移動 2d 25, Xmedia Recode ノイズ軽減 設定 4, Brz リアバンパー 交換 費用 12, 藤商事 パチンコ 設定変更 9, パンダ ブログ ミッツ 26, ネオレスト 音 うるさい 14, ダイキン エアコン リモコン 液晶 薄い 5, Ff14 同時接続 数 2020 30, 子供 水虫 市販薬 13, ドア クローザー Nhn D4x16 4, ポケモンgo ミュウ Pvp 24, 水戸 胃カメラ 評判 4, 久石譲 コンサート 2021 8, 土踏まず つる 扁平足 5, エガちゃんねる 一 話 12, Gathers Sdカード 再生できない 4, 大和リビング 入居者 専用 4, Ed ミューズ ジェネリック 7, フォートナイト エイム 解説 16, 僕の初恋を君に捧ぐ 結末 心電図 11, Glidic イヤホン 種類 4, 積立nisa Sbi 楽天 17, シャネル アイシャドウ かぶれる 7, ジャックラッセル テリア 1歳 6, Kz イヤホン リケーブル 7, 最原 Ss 春川 逆 レ 13, Landmark Fit 2 Lesson1 13,