Copyright © 2020 Apple Inc. All rights reserved. iPhone・iPadに「サーバの識別情報を検証できません」とエラーが表示されて挙動がおかしい時の対処方法です。iOS端末上に『サーバの識別情報を検証できません imap.gmail.comの識別情報をメールで確認できません。』という警告が表示 Apple では、お客様の利益向上のため、Web のセキュリティ向上に日々努めています。その一環として、TLS サーバ 証明書の最大有効期間を短縮します。, 2020 年 9 月 1 日 00:00 (GMT/UTCTLS) 以降に発行されたサーバ証明書は、有効期間が 398 日間を超えないものとします。, 今回の変更は、iOS、iPadOS、macOS、watchOS、tvOS でプレインストールされるルート CA が発行する TLS サーバ 証明書にのみ適用されます。また、2020 年 9 月 1 日以降に発行される TLS サーバ 証明書にのみ適用され、その日付以前に発行された証明書は、今回の変更の影響を受けません。, こうした新しい要件に違反する TLS サーバへの接続は、認められなくなります。その結果、ネットワークや App が機能しなくなったり、Web サイトが読み込まれなくなったりする場合があります。. Any certificates issued before Sept. 1, 2020 will still be valid, regardless of the validity period (up to 825 days). 左ペインより、「Provisioning Profiles > ALL」を選択するとこちらも 有効期限切れもしくは、有効ではないと出てくると思います。 今回の変更は、iOS、iPadOS、macOS、watchOS、tvOS でプレインストールされるルート CA が発行する TLS サーバ 証明書にのみ適用されます。. 2020 年 9 月 1 日 00:00 (GMT/UTCTLS) 以降に発行されたサーバ証明書は、有効期間が 398 日間を超えないものとします。. @applechinfo, 複数のスパムフィルタをかけていますので、コメントが反映されない場合はコンタクトフォームでご連絡下さい。, DigiCert’s Position on 1-Year TLS SSL Certificates, システム障害により本日リリースされた「macOS 11 Big Sur」がダウンロードできない状態に。, Apple M1チップを搭載したMacBook AirやMac miniと思われるベンチマークスコアがGeekbenchに公開され、i9-9980HKのMacBook Pro 16インチを超えるスコアに。, Apple、macOS 11 Big Surの起動可能なインストーラの作成方法を公開。, Apple、macOS 11 Big Surと互換性のあるMacのリストを公開。Big Surへのアップグレードにはストレージに最低35.5GBの空き容量が必要に。, Apple、macOS 11 Big SurにmacOS 10.15 Catalinaと同じPython 2.7.16やRuby 2.6.3p62などを同梱してリリース。, Apple、macOS 11 Big Surでログイン画面やmacOSの復元画面も刷新。, macOS 11 Big SurでフルハイトのサイドバーになったFinderやアプリではフォルダ名にマウスをホバーすることでアイコンが表示される仕様になっているので注意を。, macOS 11 Big SurではiOS 14と同じく「ウィジェット」を通知センターに追加可能。, macOS 11 Big Surではアプリケーション・メニューも見直され、メニュー間隔が広く見やすいレイアウトに。, TLS サーバ証明書には ExtendedKeyUsage (EKU) 拡張領域を必ず含め、ここに id-kp-serverAuth OID を指定する必要がある。, TLS サーバ証明書の有効期間は 825 日以下である (証明書の NotBefore フィールドと NotAfter フィールドで明記)。. Apple Push証明書を発行したときに使用されたApple IDは、お忘れになりませんようご注意お願い します。Apple Push証明書の更新時(1年に1回)に必要となります。Apple Push証明書の有効期 限が切れた場合、本製品はご利用いただけなくなりますのでご注意ください。 ハマりどころ2(プロビジョニングファイルの更新. AppleがSafariブラウザにおいて、2020年9月よりSSL証明書の最大有効期間を398日に短縮すると発表しました。突然発表された本対応の経緯やその影響、私たちがこれから取るべき対策についてご紹介しま … Distribution 証明書は、作成から3年間有効。 Distribution プロファイルは、作成から1年間有効。 Distribution プロファイル作成の1年後が、Distribution 証明書有効期限より後だった場合、プロファイルの有効期限は、証明書の有効期限までになります。 【例】 AppleがSafariブラウザにおいて、2020年9月よりSSL証明書の最大有効期間を398日に短縮すると発表しました。突然発表された本対応の経緯やその影響、私たちがこれから取るべき対策についてご紹介します。, Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。, このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。, 具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。, 現時点(2020年3月)で既に購入・利用している「有効期間が2年のSSL証明書」には影響がありません。Appleの発表では、2020年9月1日より前(8月31日以前)に発行されたSSL証明書は、エラー/警告の対象外になると発表しています。, 慌てて買い換える必要はありませんが、次回更新時は必要に応じて有効期間が1年のSSL証明書を買う必要があるので注意しましょう。, SSL証明書に関する取り決めは、CA/Browser Forum(CAブラウザフォーラム)という業界団体で行われており、SSL証明書を発行するCertificate Authority(認証局)と、ChromeやSafariなどのWebブラウザを開発するブラウザベンダーが団体に参加しています。日本からもルート認証局であるセコムトラストシステムズやGMOグローバルサインが参加しています。, そのフォーラムにて、SSL証明書・Webブラウザの仕様変更や新仕様が発議され、各社の投票によってガイドラインなどが決定されます。2018年3月より、有効期間3年のSSL証明書が発行できなくなりましたが、これもフォーラムにて発議・採決されて決められたものです。, 2019年8月に「SSL証明書の有効期間を1年に短縮する」とGoogleが発議しましたが、CA側(SSL証明書を販売する側)の反対が多く否決されました。, 否決されたにも関わらず、Appleは「ユーザーのWebセキュリティ改善」を理由に、Safari独自のブラウザ仕様として有効期間の短縮を発表しました。これまでも、ブラウザ側が独自仕様としてSSL証明書の無効化を行った事例はあるため、珍しいことではありません。「セキュリティ強化のためにブラウザ仕様を変更する」という、ごく普通の改修の一環としても受け取れます。, 現在、有効期間の短縮を正式発表しているのはAppleのみですが、Google(Chrome)やMozilla(Firefox)が追随してくる可能性もゼロではありません。既にMozillaではこの問題に関する議論が始まっています。, そもそもCA/Browser Forumの投票では、ブラウザ側は「1年への短縮」に全員賛成しているため、他のブラウザでも短縮対応が実施される可能性はゼロではないと思われます。, Google Chrome、Mozilla FirefoxでもSafariと同様にSSL証明書の有効期間を397日以下にすることが決定されました。主要ブラウザで2年のSSL証明書が利用できなくなることを受けて、さくらのSSLでもお知らせの通り、有効期間2年のSSL証明書の販売を7月末を持って終了いたしました。, 一般的にSSL証明書の有効期間は短ければ短いほどセキュアとされています。これには様々な理由がありますが、一番わかりやすいのは「認証」の有効期間という考え方です。, 例えば、企業認証のEV証明書を取得するには電話確認(電話認証)が必要で、その確認を行うことで「企業が実在すること」を証明しています。しかし、もし取得後に会社が破産し消滅してしまったらどうでしょうか?その場合、実在しない企業を認証したSSL証明書がそのまま使われることになります。つまり、SSL証明書の有効期間が短ければ短いほど、「認証」された情報が新鮮で信頼性が高いということです。これはドメイン認証のSSL証明書でも同様です。, その他にも、認証局でセキュリティ侵害が起きた場合などの影響範囲を狭めるために、有効期間は短い方が良いという考え方もあります。様々な角度から見ても、セキュリティのことだけを考えると有効期間は短ければ短い方が良い、というのは間違いありません。, 一方、サーバーを管理する側やWebサイトを運営する側からすると、SSL証明書の更新は面倒な作業です。SSL証明書の有効期間が長ければ長いほど、更新の手間が減り利便性が高くなります。CA側は利便性の高い商品を売り続けたいので、有効期間の短縮には反対しているというわけなのです。, 「利便性」を取るか「安全性」を取るかは、セキュリティの根幹に関わる難しい問題ですが、多くの人が納得する範囲で便利で安全なところに落とし込むために、CA/Browser Forumの会議があるとも言えます。有効期間3年から2年への短縮は可決され、2年から1年への短縮が否決されたということは、ここが多くの人が考える「利便性」と「安全性」のバランスが取れているポイントであったと考えられます。, 私たちSSL証明書の利用者は、今回のAppleの対応にどう対処したら良いのでしょうか?結論から言ってしまうと、Webサイト用のSSL証明書を購入する場合、2020年9月1日以降は「2年証明書を買ってはいけない」と言えるでしょう。何故なら「Safariでエラーが出る」ということは、日本で6割近いスマートフォンのシェアを占めるiPhoneでエラーが出る(サイトが閲覧できなくなる)ということです。影響としては非常に大きいため、とても無視できるものではありません。, 「だったら2年のSSL証明書を売らなきゃ良いのに!」と思う方も多いと思いますが、CA/Browser Forumでは「1年への短縮」が否決されているため、2年証明書を販売することは禁止されていません。また、一部の利用者はブラウザを利用せず、サーバー間通信などでSSL証明書を利用することもあり、引き続き2年の有効期間を持つSSL証明書が発行される見込みです。, SSL証明書に関するブラウザ仕様は全て統一されているわけではありません。ブラウザごとの仕様に興味がある方は当コラムの『Chrome 77よりEV SSL証明書のアドレスバー組織名表示が消滅!新たな表示先とは?』も併せてご覧ください。, また、CA/Browser Forumについて興味を持った方は、提案されている内容をチェックしてみると良いかもしれません。現在議論されている内容や、過去の投票結果などが公開されています。, 『Chrome 77よりEV SSL証明書のアドレスバー組織名表示が消滅!新たな表示先とは?』, 2021年にLet’s Encryptのルート証明書が変更!影響や備えておくべきこととは?, 2020年9月よりAppleがSSL証明書の有効期間を13か月に短縮!詳細や対策とは?, Chrome 83よりダウンロード時のMixed content(混在コンテンツ)をブロック開始!今後の動向とは?, あと数年で量子コンピューターにSSL通信が解読される?SSL/TLSの未来を担うPQCとは?, ChromeがMixed contentの段階的なブロック強化を開始!詳細や対応方法とは?, Chrome 77よりEV SSL証明書のアドレスバー組織名表示が消滅!新たな表示先とは?, Chrome 70公開直前で方針転換?ゆっくりと広がる旧シマンテック系証明書の無効化対応とは?, 2018年10月公開のChrome70よりデジサート証明書の失効と赤文字の警告表示が開始, サイト制作/管理者必見!SSL化がサイトの障害原因だった!?SSL証明書の思わぬ落とし穴とは?, 6月以降はTLS 1.0が使えない?PCI DSS準拠にまつわるSSL/TLSのお話. Certificates that are not publicly trusted can still be recognized, up to a maximum validity of 825 days. 有効期限. — Dean Coclin (@chosensecurity) February 19, 2020, https://t.co/MaXE24AStv https://t.co/gWNzIGQIEj, — Bailey Basile (@BasileBailey) February 21, 2020. Appleが2020年9月1日以降、TLS サーバ証明書の有効期間を最大825日から398日に変更するとCA/Browser Forumで発表したそうです。詳細は以下から。, CA/Browser Forumの議長であるDean Coclinさんによると、2020年02月20日にスロバキアで行われたCA/Browser ForumのワーキンググループにAppleのSecure Transport EngineerであるBailey Basileさんらが参加し、Appleは2020年09月01日に発行されるパブリックTLS認証書の有効期限を最大398日(1年と猶予期間の1ヶ月)に変更すると発表したそうです。. At the CA/Browser (CA/B) Forum in Bratislava, Slovakia, this week, Apple announced that beginning Sept. 1, newly issued publicly trusted TLS certificates are valid for no longer than 398 days.