Symantec、同社発行のSSL/TLS証明書を信頼してもらうための対策をGoogleに提案 13
ストーリー by hylom
譲歩となるか 部門より
譲歩となるか 部門より
headless 曰く、
Symantecおよびパートナーの登録局(RA)が発行したSSL/TLS証明書のGoogle Chromeでの扱いについて、有効期限短縮やEVステータスの無効化がChromiumプロジェクトで3月に提案されたことを受け、Symantecが対案を示している(Symantec Official Blog、Register)。
この問題はSymantecやパートナーのRAが適切な確認を行わないまま証明書を大量に発行していたというもの。ChromiumプロジェクトのBlink開発チームの調査によれば、少なくとも3万件が数年にわたって不正発行されていたという。チームではSymantecの証明書発行ポリシーや業務を信頼できなくなったとして、ChromeでSymantecが発行した証明書の扱いを変更することを提案していた。
これに対してSymantecでは、同社の発行した証明書が幅広く使われており、置き換えが容易でないこと、世界の電子商取引の80%以上が同社の証明書により保護されていること、同社が世界最大のOV/EV証明書プロバイダーであることなどを挙げ、証明書による通信の保護を中断することなくGoogleの懸念を解消するための対策を提案している。
対策の内容としては、Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと、WebTrustによる定期的な審査を行い、報告書を公表すること、有効期限3か月のSSL/TLS証明書の幅広い提供を進め、有効期限9か月以上の証明書は9か月目に無料でドメインの再確認を実施すること、認証局としての運営を継続的に改善していくことなどを挙げている。
GoogleやらMSやらの比じゃない問題 (スコア:2, 興味深い)
「世界の電子商取引の80%以上が同社の証明書により保護されていること」を理由に、ガバナンスが効いてないことのツケを他に払わせようなんて企業は、それこそ独禁法で叩くべき事案じゃないのか?これ。
Re:GoogleやらMSやらの比じゃない問題 (スコア:1)
これからも正規の手順は踏みませんって宣言してるようなものですね
手順遵守がシマンテックのなすべき事なはずなのに、許可しないブラウザが悪いとでも言いたいのでしょうか。
まぁ実際にユーザーがクレームを入れるのはいつもフロントエンドなんですが。
Re: (スコア:0)
これ完全に脅迫ですよね。カチンと来た人も多いのでは。
Re: (スコア:0)
反省の色なし。
無駄な足掻き (スコア:1)
問題となっているのは正規の手順を踏まずに発行されたものなんだから、いくら手順を厳格化しても意味ないような…
それから定期的に買い換えるものなんだから、利用者としては置き換えは容易ですよね。
まだ有料使ってるの? (スコア:0)
Let's encrypt.
Re: (スコア:0)
Let's encrypt.
StartComがやらかしてからは、ここに切り替えたけど
自動で更新とかできるから、楽で助かるわ
Re: (スコア:0)
Windows 案件での自動更新の方法をご指南いただきたいで候。
Re: (スコア:0)
LE で OV、EV 証明書を発行してもらえるとは知りませんでした。
日本法人がある企業 (スコア:0)
最近、撤退が著しい中、ちゃんと日本支社を置いて日本の雇用にも貢献してくれている会社だから…と思ったが、本件は流石に擁護しづらい。
置き換えは容易だろ? (スコア:0)
コスト負担を顧客に求めるのが難しいだけで。
Symanticが負担してチャッチャとマトモな奴に置き換えて回れば良いだけじゃん。
Re:置き換えは容易だろ? (スコア:1)
なんらかの専用APIで自動化されてたりしたら、置き換え困難、はあるかもしれませんね。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
期限前の入れ替えや、証明書が失効した場合の処理を考えていないような専用APIは作り直した方が良いのではと。