X.509 証明書のアップグレードはユーザーにどのような影響を与えますか?

背景

X.509 証明書は、広く受け入れられている国際的な X.509 公開キー基盤 (PKI) 標準を使用して、公開キーが証明書に含まれるホスト名/ドメイン、組織、または個人に属していることを検証するデジタル証明書です。

2019 年 11 月 5 日に、Procore は、 app.procore.comドメインとlogin.procore.comドメインのパブリック TLS/SSL X.509 サーバー証明書を更新します。ワイルドカード証明書の使用から、完全修飾ドメイン名と一致する証明書にアップグレードしています。ワイルドカード証明書は便利かもしれませんが、最小権限のセキュリティ原則に違反します。複数のシステムがワイルドカード証明書を共有する場合、証明書の秘密キーが侵害される可能性が高くなります。さらに、攻撃者にとってこのキーの価値が大幅に高まるため、より魅力的なターゲットになります。

答え

ユーザーが証明書の固定を使用する場合、Web クライアントは、どのようなサーバー証明書を期待するかを認識するように事前に構成されています。このシナリオでは、更新された X.509 証明書が事前構成された証明書と一致しないため、クライアントはセッションの実行を妨げます。X.509 証明書のアップグレード後に Procore との接続の問題が発生し始めた場合は、IT 部門のサポートにお問い合わせください。新しい証明書を適切に処理するには、Web クライアントを更新する必要があります。一方、Web クライアントが証明書の固定用に構成されていない場合は、アクションは必要ありません。これらの変更はシームレスに行われます。多くても、証明書が更新された後に再認証が必要になる場合があります。