SSL/TLSサーバ証明書をパブリックCTログから除外する
デジサートは、特定のパブリックSSL/TLSサーバ証明書をCTログから除外したい場合があることを理解しています。ただし、証明書の除外を開始する前に、未登録のSSL/TLSサーバ証明書による影響を理解しておくようにしてください。
SSL/TLSサーバ証明書を登録しない場合の影響
CT要件ポリシーが設定されたブラウザは、SSL/TLSサーバ証明書が未登録のサイトについて「信頼できません」警告、または低レベルのセキュリティインジケータを表示します。
一般向けのサイトでは、サイトを使用しないことが顧客に推奨される可能性があり、ビジネス、顧客の信頼、および収益の損失が生じる原因になります。
内部向けのサイトでは、サイトを訪問する人がアクセスを躊躇する可能性があります。
Google Chromeは、2018年4月1日以降に発行された未登録の証明書があるサイトで警告を表示した最初のブラウザでした。「Google CTの対象範囲がすべての証明書タイプに拡大」を参照してください。
他のブラウザも、同様の措置を講じはじめています。Appleは、2018年10月15日以降に発行された未登録の証明書があるサイトで警告を表示します。「AppleがCertificate Transparency要件を発表」を参照してください。
「信頼できません」警告を除去する
未登録の証明書からこの「信頼できません」警告を除去するには、以下を実行する必要があります。
証明書を再発行して登録を許可する。
元の証明書を、再発行されたCT登録済み証明書に置き換える。