Certificate Transparency Aviatorサーバのログ受付が終了

福田です。12/1をもってGoogle Certificate Transparency Aviatorサーバーでの新規SCT発行を終了したことをお伝えしたいと思います。

以後は次のような画面が出て受け付けなくなります

2016/12/1 0:00 UTC+0000以降よりはレスポンスが403になり、また次のような応答が返ってくるようになります。

{
  "error_message": "This log is frozen, no further entries may be added.",
  "success": false,
  "i": "   __      ",
  "c": "-=(o '-    ",
  "e": "   `.-.\\   ",
  "p": "   /|  \\\\  ",
  "a": "   '|  ||  ",
  "l": "    _\\_):,_"
}

ペンギンのアスキーアートと、なかなかに凝ったエラー画面で面白いですね。ちなみにicepalは調べても出てきませんが大体意訳すると氷の集合体、つまり南極とかそういうことでしょうか。
ただし、CTサーバからの読み取りはできるようですので、既存の発行した証明書はノーダメージなようです。

理由について

AviatorサーバはCTが発表された2015年以前より動作しています。技術というものは日々進歩しているもので、Aviatorシステム自体も古くなっています。古くなったシステムを残すのはメンテナンスコストがかさみますから、必然的に廃止する時期というものがあり、近くIcarusとSkydriverのCTサーバがリリースされるこの時期に廃止しちゃおうとなったわけです。それよりももっと廃止を急いだ理由としては、DigiCertやVenafi、そして大手のVerisignの証明書にてCTの埋め込みが行われていたのですが、それについてAviatorサーバでは消去する処理をしていなく、Chromiumの方にIssueが上がっていたことなどがあります。

※この部分について少々翻訳の自信がないので、間違っていたら連絡ください。

今後はどうすればいいのか?

今後はPilotサーバとRocketeerサーバにのみ送信すれば良くなります。シェルスクリプトであれば、「ct.googleapis.com/aviator」に送信している部分のコードをコメントアウトするか削除すればOKです。
また、この変更によって他のサーバーも止まったなどの影響はありません。

ブラウザの開発者さんは、このサーバーを読みに行く意味はもはやほとんどないでしょう。読み出しは可能なものの、書き込みができなくなっている以上はいずれ廃止されること(ないしは別のサーバーに移動するか?)が明らかです。適宜取り除く(3ヶ月~1年スパン)のが賢い選択肢と言えるでしょう。

同時に、1月下旬のChrome 56リリース後には「Icarus」及び「Skydiver」のCTサーバが登場しますので、当面CTを送信することがないのであればAviatorをIcarusに置換し、そしてSkydriverを追加しておくといいでしょう。

それぞれ新URLは次の通りです:
https://ct.googleapis.com/icarus
https://ct.googleapis.com/skydriver

まとめ

まあ、しゃーないっちゃしゃーないですけど僕がLet’s Encryptの後処理でこれを追加して自動化していたので、修正が面倒でしたしちょっと勘弁してほしかったですね。何気なく更新したら予期しない表示が出てきてびっくりした感じです。

CTフォーラムでのAviatorサーバ書き込み終了予告
Chromiumでのバグ報告(VerisignのCTバグに関する件)

この記事は最終編集から一年以上経過しております。この記事に書かれた内容をご利用・実践される際は十分ご注意ください。