セキュリティ
証明書の更新漏れで、接続チェッカーがブラウザの警告を引き起こす事態に
Microsoftが証明書管理でミスを犯したようです。世界中のシステム管理者がMicrosoft 365への接続テストに使用しているドメインが、ブラウザで「信頼できない接続」という警告を表示するようになっています。
connectivity.office.comは、ITプロフェッショナルがネットワークからMicrosoft 365への接続を確認し、ファイアウォールがMicrosoftサーバーへのアクセスを妨げていないかどうかを検証するために利用しているドメインです。
月曜日に取得したSSLサーバーレポートによると、この証明書は2025年12月16日に更新されたのを最後に、6月14日をもって有効期限が切れていることが確認されています。
本稿執筆時点で、証明書の失効から35時間が経過していますが、Microsoftはいまだに更新を行っていません。ITコミュニティの多くが不満の声を上げているにもかかわらずです。
現代では証明書の更新は自動化されていることが多いものの、手動プロセスに依存している組織では、担当者が失効前に複数のアラートを受け取っているはずです。
それでも更新されていないということは、Microsoftの証明書更新プロセスに関わる何らかの仕組み、あるいは担当者がミスを犯したと考えざるを得ません。
The RegisterはRedmondに見解を求めました。担当者からコメントの依頼を受け付けた旨の返答はありましたが、本稿の締め切りまでに回答は得られませんでした。
今回の影響は、最悪の事態と比べれば限定的です。ネットワーク診断ツールでブラウザ警告が出るのは煩わしいものですが、login.microsoft.comなど重要サービスで同じことが起きた場合と比べれば、致命的とは言えません。
Teamsユーザーなら覚えているかもしれませんが、2020年には認証用証明書の失効が原因で、このコラボレーションプラットフォームが月曜日に突然サービス停止に陥ったこともありました。
今回の問題の原因がどこにあるにせよ、Microsoftは今後数年以内に証明書の有効期間が短縮される時代に備え、管理プロセスを強化する必要があります。
3月26日以降、新しいSSL/TLS証明書の最長有効期間は200日となります。さらに2027年3月15日までに100日へ、その2年後には47日まで短縮される予定です。®
