証明書の期限切れについて - SE（しがないエンジニア）のブログ

私用で某有名な企業様のキャンペーンサイトにアクセスしたらSSLのエラーが・・・・まさか、と思い詳細を見てみると証明書の期限切れとなっておりました。企業サイトのお知らせを探してみると「エラーは出ますが進んで下さい」との事で。

期限切れはヒューマンエラーによるところがあるので責めきれないところもあるのですが、過去にも個人情報を漏洩するインシデントを発生した企業だったのでそのお知らせの対応にはちょっとガッカリでした。。（進んだ先では個人情報を入力するわけではないのでSSLである必要は無いと言えば無かったのですが）

本日10時からキャンペーンサイトはOPENしており22時に閲覧した時点では証明書は更新されておりました。が、お知らせはまるで何事も無かったかのように落とされてました。普通だったらお詫びをした上で「XX時現在は問題ありません」と記載すると思うのですが、その点もガッカリです。なんだかなぁ。

少し前の話ですが証明書の期限切れにまつわる話でこんなニュースをPickしました。

先日、聴講した「Security Days Spring 2019 Tokyo」でもこのネタは取り上げられていましたが、規模の大小はあるとは言え、どこの会社でも起き得る話なのです。回避する策で考えられるのは下記の点。

・証明書を発行するサービスの自動処理を利用する（例：Let's Encryptのrenew）

・メールアドレスを個人アドレスにせずシステム管理者のグループアドレスにする

・複数のサイトで期限がバラバラの状態を避ける為、ワイルドカード証明書にする。

他にもマネージドSSLのサービスを契約する等、方法は様々ですがある日閲覧したら管理しているサイトが「この接続ではプライバシーが保護されません」なんて出ないようにしたいものです。