Symantec の証明書から移行する

管理対象の Chrome ブラウザと Chrome OS 搭載の端末が対象です。

2017 年 12 月より前に発行された Symantec® の証明書は、Chrome バージョン 66 から段階的にサポートが終了します(Chrome ブラウザと Chrome OS が対象)。また、Chrome バージョン 70 以降の Chrome ブラウザと Chrome OS では、Symantec の証明書のサポートがすべて終了します。この変更は、Symantec ブランド(GeoTrust®、Equifax®、Thawte®、RapidSSL®、VeriSign® など)から発行された証明書、および Symantec 販売パートナーから購入された証明書のすべてに適用されます。

信頼されなくなった Symantec の証明書を使用しているウェブサイトにアクセスしたユーザーには、エラー メッセージが表示されることがあります。また、Symantec の証明書を使用するホストによって配信されるリソース(JavaScript や CSS スタイルシートなど)を使用しているサイトが、正常に動作しなくなる可能性もあります。

どの証明書がブロックされるかは、Chrome のバージョンと証明書の作成日によって異なります。

Chrome のバージョン デフォルトの動作(ブロック)
Chrome 66~Chrome 69 2017 年 12 月 1 日以降および 2016 年 6 月 1 日以前に Symantec から発行された証明書を信頼しなくなりますが、これらの日付の間に発行された証明書はすべて許可します。
Chrome 70〜Chrome 73 Symantec から発行されたすべての証明書を信頼しなくなります。

移行を計画する

ご自身の組織にとって最善の方法を決定するために、まず導入状況を把握することをおすすめします。証明書の使用方法や使用場所に応じて、以下の該当する項目をクリックして手順をご確認ください。

組織で Symantec の証明書を使用している
ウェブマスターと協力して、どこで Symantec の証明書を使用しているかを特定し、できるだけ早く証明書を置き換えます。Chrome が信頼する認証局(Symantec の事業を買収した DigiCert など)の証明書を使用することをおすすめします。
古いデバイスが Symantec の証明書しか信頼しない

決済デバイス、電話システム、その他の形態の統合型ハードウェアなど、古いデバイスには Symantec の証明書しか信頼できないものがあります。これに該当する場合は、デバイスのメーカーに連絡し、他の認証局のサポートを依頼してください。

デバイスがすぐに更新されず、Chrome ユーザーと同じウェブサーバーを使用している場合は、デバイスを置き換えるかアップグレードするまで、Symantec の証明書のサポートを一時的に有効にすることができます。この状況に該当する場合は、お使いの Symantec アカウントに割り当てられている DigiCert 担当者に問い合わせて、新しい認証局への移行計画を立ててください。

パートナーが Symantec の証明書を使用している

ご自身の組織が、Symantec の証明書を使用するパートナー サイトを利用している場合は、ウェブマスターに問い合わせて証明書の置き換えスケジュールを確認してください。組織に支障が生じることのないよう、これらのサイトの証明書は早急に移行される必要があります。

パートナーがサイトをすぐに更新できない場合は、更新されるまで、Symantec の証明書のサポートを一時的に有効にすることをご検討ください。

Symantec の証明書のサポートを一時的に有効にする

Symantec の証明書からの移行期間を延長するために、以前の Symantec の証明書を一時的にサポートするユーザー ポリシーを設定することができます。このポリシーは、バージョン 73 以前の Chrome に対して機能します。バージョン 73 より後の Chrome に対しては機能せず、Symantec の証明書のすべてが Chrome ブラウザと Chrome OS でブロックされます。

始める前に
  • Chrome OS では、73 以前のバージョンに対してこのポリシーをサポートします。ただし、Windows、Linux、macOS などの他の OS では、Chrome 73 がリリースされる前に Symantec の証明書のサポートを終了する可能性があります。Symantec の証明書をサポートしなくなった OS で Chrome ブラウザを使用している場合、このポリシーを有効にしても効果はなく、証明書は信頼されません。
  • このポリシーを有効にする方法は、最終的なソリューションへの移行期間を延長するための一時的な解決策にすぎません。この移行期間中にユーザーが重要なウェブページにアクセスできるように、移行を計画してください。
  • 組織全体にこのポリシーを展開する前にテストを実施し、このポリシーを有効にした状態でユーザーが必要なサイトに引き続きアクセスできることを確認してください。
  • このポリシーにより、ウェブサイトが以前の証明書を引き続き使用できるようになり、これらのサイトにアクセスするユーザーに、アラートやメッセージが表示されることもありません。ただし、このポリシーを有効にすることで、以前の証明書を使用しているサーバーやサイトを特定しにくくなる可能性があります。そのため、移行期間中はこのポリシーを無効にした状態でサイトを定期的にテストし、更新が必要なサイトやサービスを特定するようにしてください。
管理コンソール

以下は、Chrome OS デバイスで Chrome ブラウザを使用している場合の手順です。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[端末管理] 次に [Chrome 管理] にアクセスします。

    [端末管理] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. 左側にある [Chrome 管理] をクリックします。
  4. [ユーザー設定] をクリックします。
  5. (省略可)組織に設定を適用するには:
    1. 左側で組織を選択します。
    2. この組織で [管理対象の Chrome ブラウザ] が有効になっていることを確認します。
      組織構造についての詳細もご確認ください。
  6. [セキュリティ] 次に [ローカル トラスト アンカーの証明書] 次に [Symantec Corporation の Legacy PKI インフラストラクチャ] に移動します。
  7. 次のいずれかを選択します。
    1. 許可 - Symantec から発行された以前の証明書を許可します。
    2. ブロック - Symantec から発行された以前の証明書をブロックします。この設定では、Chrome OS のデフォルトの動作が強制されます。どの証明書がブロックされるかは、Chrome OS のバージョンと証明書の作成日によって異なります。詳しくは、こちらの表をご覧ください。
  8. 下部にある [保存] をクリックします。
    通常、設定は数分で有効になりますが、全員に適用されるまでには最長で 1 時間ほどかかることがあります。
Windows

以下は、Windows で Chrome ブラウザを使用している場合の手順です。

グループ ポリシーを使用する

始める前に: Chrome ポリシーを設定します(Windows)

Windows パソコンで次の手順に沿って操作します。
  1. グループ ポリシー管理コンソールを開きます。
  2. [ユーザーの構成] 次に [ポリシー] 次に [管理用テンプレート] 次に [Google] 次に [Google Chrome] に移動します。
  3. [Symantec Corporation の古い PKI インフラストラクチャを信頼するかどうか] をクリックします。
  4. [有効] を選択します。
  5. [OK] をクリックします。
macOS

以下は、macOS で Chrome ブラウザを使用している場合の手順です。

始める前に: Chrome ポリシーを設定します(macOS)

Chrome の設定プロファイルで次のキーを追加するか、すでに存在する場合は更新し、変更をユーザーに展開します。

  • EnableSymantecLegacyInfrastructure キーを true に設定します。
    <key>EnableSymantecLegacyInfrastructure</key>
         <true/>

Linux

以下は、Linux で Chrome ブラウザを使用している場合の手順です。

任意の JSON ファイル エディタを使用してください。

  1. /etc/opt/chrome/policies/managed フォルダに移動します。
  2. 新しい JSON ファイルを作成するか、既存の JSON ファイルを開きます。
  3. 次のコードでファイルを更新します。
    {
    "EnableSymantecLegacyInfrastructure": "true"
    }
  4. 更新をユーザーに展開します。

関連リンク

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。