SSL/TLS 証明書をパブリック CT ログから外す

お客様が特定のパブリック SSL/TLS 証明書を CT ログ記録から外したいというのは理解しています。ただし、証明書の CT ログからの除外を開始する前に、ログ記録されていない SSL/TLS 証明書はどのような結果になるかを必ず理解してください。

SSL/TLS 証明書をログ記録しないと、どうなるか

CT 要件ポリシーのあるブラウザには、アントラスト という警告が表示されるか、ログ記録されていない SSL/TLS 証明書のあるサイトでは、セキュリティインジケータレベルが低くなります。

  • 公開サイトの場合,お使いのサイトの利用から切断され、事業損失、顧客の信頼喪失と減損の原因となる場合があります。
  • 内部向けサイトの場合,お客様のサイトへの訪問者が利用を敬遠する可能性があります。

Google Chrome は、2018年4月1日以降発行のログ記録されていない証明書があるサイトでは、警告を表示する初のブラウザです。「すべての証明書タイプに拡張する Google CT」を参照してください。

他のブラウザも、これに倣って同様の措置を講じはじめています。Apple は、2018年10月15日以降発行のログ記録されていない証明書のあるサイトで、警告を表示します。Apple が Certificate Transparency 要件を発表」を参照してください。

アントラスト警告を削除する

アントラスト という警告をログ記録されていない証明書から削除するには、以下の操作を行ってください。

  • 証明書を再発行してそのログ記録を許可する。
  • 元の証明書を再発行した CT ログ記録された証明書と入れ替える。