管理対象の Chrome ブラウザと ChromeOS デバイスが対象です。
2017 年 12 月より前に発行された Symantec® の証明書は、Chrome バージョン 66 から段階的にサポートが終了します(Chrome ブラウザと Chrome OS が対象)。また、Chrome バージョン 70 以降の Chrome ブラウザと Chrome OS では、Symantec の証明書のサポートがすべて終了します。この変更は、Symantec ブランド(GeoTrust®、Equifax®、Thawte®、RapidSSL®、VeriSign® など)から発行された証明書、および Symantec 販売パートナーから購入された証明書のすべてに適用されます。
信頼されなくなった Symantec の証明書を使用しているウェブサイトにアクセスしたユーザーには、エラー メッセージが表示されることがあります。また、Symantec の証明書を使用するホストによって配信されるリソース(JavaScript や CSS スタイルシートなど)を使用しているサイトが、正常に動作しなくなる可能性もあります。
どの証明書がブロックされるかは、Chrome のバージョンと証明書の作成日によって異なります。
| Chrome のバージョン | デフォルトの動作(ブロック) |
|---|---|
| Chrome 66~Chrome 69 | 2017 年 12 月 1 日以降および 2016 年 6 月 1 日以前に Symantec から発行された証明書を信頼しなくなりますが、これらの日付の間に発行された証明書はすべて許可します。 |
| Chrome 70〜Chrome 73 | Symantec から発行されたすべての証明書を信頼しなくなります。 |
移行を計画する
ご自身の組織にとって最善の方法を決定するために、まず導入状況を把握することをおすすめします。証明書の使用方法や使用場所に応じて、以下の該当する項目をクリックして手順をご確認ください。
組織で Symantec の証明書を使用している決済デバイス、電話システム、その他の形態の統合型ハードウェアなど、古いデバイスには Symantec の証明書しか信頼できないものがあります。デバイスのメーカーに連絡し、他の認証局をサポートするよう依頼してください。
デバイスをすぐに更新できず、Chrome ユーザーと同じウェブサーバーを使用している場合は、デバイスを交換するかアップグレードするまで、Symantec の証明書のサポートを一時的に有効にすることができます。この状況に該当する場合は、お使いの Symantec アカウントに割り当てられている DigiCert 担当者に問い合わせて、新しい認証局への移行計画を立ててください。
ご自身の組織がパートナーのサイトを利用していて、そのサイトで Symantec の証明書が使用されている場合は、ウェブサイトの管理者に問い合わせて証明書の移行予定について確認してください。組織に支障が生じることのないよう、これらのサイトの証明書を早急に移行する必要があります。
パートナーがサイトをすぐに更新できない場合は、更新されるまで、Symantec の証明書のサポートを一時的に有効にすることをご検討ください。
Symantec の証明書のサポートを一時的に有効にする
Symantec の証明書からの移行期間を延長するために、以前の Symantec の証明書を一時的にサポートするユーザー ポリシーを設定することができます。このポリシーは、バージョン 73 以前の Chrome に対して機能します。バージョン 73 より後の Chrome に対しては機能せず、Symantec の証明書のすべてが Chrome ブラウザと Chrome OS でブロックされます。
始める前に- Chrome OS では、73 以前のバージョンに対してこのポリシーをサポートします。ただし、Windows、Linux、macOS などの他の OS では、Chrome 73 がリリースされる前に Symantec の証明書のサポートを終了する可能性があります。Symantec の証明書をサポートしなくなった OS で Chrome ブラウザを使用している場合、このポリシーを有効にしても効果はなく、証明書は信頼されません。
- このポリシーを有効にする方法は、最終的なソリューションへの移行期間を延長するための一時的な解決策にすぎません。この移行期間中にユーザーが重要なウェブページにアクセスできるように、移行を計画してください。
- 組織全体にこのポリシーを展開する前にテストを実施し、このポリシーを有効にした状態でユーザーが必要なサイトに引き続きアクセスできることを確認してください。
- このポリシーにより、ウェブサイトが以前の証明書を引き続き使用できるようになり、これらのサイトにアクセスするユーザーに、アラートやメッセージが表示されることもありません。ただし、このポリシーを有効にすることで、以前の証明書を使用しているサーバーやサイトを特定しにくくなる可能性があります。そのため、移行期間中はこのポリシーを無効にした状態でサイトを定期的にテストし、更新が必要なサイトやサービスを特定するようにしてください。
Chrome OS デバイスで Chrome ブラウザを使用している場合の手順は次のとおりです。
-
-
管理コンソールで、メニュー アイコン
[デバイス]
[Chrome]
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ]
- (省略可)組織に設定を適用するには:
- 左側で組織を選択します。
- この組織で [管理対象の Chrome ブラウザ] が有効になっていることを確認します。
組織構造についての詳細をご覧ください。
- [セキュリティ] に移動します。
- [ローカル トラスト アンカーの証明書] をクリックします。
- [Symantec Corporation の Legacy PKI インフラストラクチャ] で、以下のどちらかを選択します。
- 許可 - Symantec から発行された以前の証明書を許可します。
- ブロック - Symantec から発行された以前の証明書をブロックします。この設定では、Chrome OS のデフォルトの動作が強制されます。どの証明書がブロックされるかは、Chrome OS のバージョンと証明書の作成日によって異なります。詳しくは、こちらの表をご覧ください。
- [保存] をクリックします。
通常、設定は数分で有効になりますが、全員に適用されるまでには最長で 1 時間ほどかかることがあります。
Windows で Chrome ブラウザを使用している場合の手順は次のとおりです。
グループ ポリシーを使用する
始める前に: Chrome ポリシーを設定する(Windows)
Windows パソコンの場合- グループ ポリシー管理コンソールを開きます。
- [ユーザーの構成]
[ポリシー]
- [Symantec Corporation の古い PKI インフラストラクチャを信頼する] をクリックします。
- [有効] を選択します。
- [OK] をクリックします。
[ポリシー] macOS で Chrome ブラウザを使用している場合の手順は次のとおりです。
始める前に: Chrome ポリシーを設定します(macOS)
Chrome の設定プロファイルで次のキーを追加するか、すでに存在する場合は更新し、変更をユーザーに展開します。
-
EnableSymantecLegacyInfrastructure キーを true に設定します。
<key>EnableSymantecLegacyInfrastructure</key>
<true/>
Linux で Chrome ブラウザを使用している場合の手順は次のとおりです。
任意の JSON ファイル エディタを使用してください。
- /etc/opt/chrome/policies/managed フォルダに移動します。
- 新しい JSON ファイルを作成するか、既存の JSON ファイルを開きます。
- 次のコードでファイルを更新します。
{
"EnableSymantecLegacyInfrastructure": "true"
} - 更新をユーザーに展開します。
関連リンク
- Google が Symantec の一部の証明書のサポートを終了する理由について詳しくは、Symantec 証明書のサポート終了に関する Chrome の計画をご覧ください。
- ポリシーの詳しい説明については、EnableSymantecLegacyInfrastructureをご覧ください。
- Chrome ポリシー テンプレートについて詳しくは、デバイスに Chrome のポリシーを設定するをご覧ください。