パスワードを忘れた? アカウント作成
12569546 story
Google

Symantec、google.comなどのテスト証明書を手違いで無断発行 23

ストーリー by hylom
やらかしましたね 部門より

米Symantecの「手違い」により、GoogleやOperaなど5組織向けのテスト証明書23件がドメイン所有者の知らないうちに発行されていたそうだ(ITmedia)。

Symantecは76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件を不正に発行していたと発表。これに対しGoogleは「懸念すべき状況」として批判、Googleの提唱するCertificate Transparencyに準拠しない証明書については「安全とみなさない」対応を行う可能性があるとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年11月03日 7時11分 (#2910977)

    いくらスラドでも取り上げるの遅すぎでは…と思ったがITmediaの記事読むとその後さらにgdgdになってたのね。こりゃGoogleがキレるわけだわ。

    タレコミ見ても時系列が全然明らかじゃないどころか23件なのか164件+2458件なのか矛盾しているように見えるのはいつものhylomだからいいとして

  • by Anonymous Coward on 2015年11月03日 9時05分 (#2910996)

    そこらにあるクソフトの署名にお墨付きを出してるのは誰か(どの鯖か)、みるひとはみてる
    俺もみてた、最近静的解析から離れてるので名を出せないだけだ

    反中韓の人なら、Baiduが署名したAuthenticodeは蹴りたいだろう
    逆に、中韓系企業で働いてるなら、Baiduの署名は尊重しないといけないだろう

    一律に、OSに任せて、与信するしないで判断するのはやめにしないか

    • by Anonymous Coward
      好きなだけローカル環境の「信頼されたルート証明書」の設定から削除すればいいだけでは?
      • by Anonymous Coward on 2015年11月03日 9時44分 (#2911010)

        MSの証明書ストアに含まれるルート証明書は勝手に復活するから削除したらダメ。当該証明書のプロパティ→「証明書の目的」→「この証明書の目的をすべて無効にする」を選ぶ必要がある

        親コメント
        • by Anonymous Coward on 2015年11月03日 13時11分 (#2911091)

          さらにWindows 7以降はすべての証明書が最初から登録されているわけではない(勝手に復活するのと同じ仕組みで勝手に追加されていく)ので、まずローカルの証明書ストア上で証明書をフルコンプする必要がある(参照: 1 [livedoor.jp] 2 [livedoor.jp])。もちろん新しいルート証明書が随時追加される可能性があるので、かつてのCCCの個人情報提供の停止 [srad.jp]よろしく監視し続ける必要がある。とてもじゃないが「削除すればいいだけ」なんて手間からはほど遠い。

          ここまで書いて「いくらなんでもルート証明書の自動更新を無効にするグループポリシー設定くらいあるよね?」と思って調べてみたらあるらしい [microsoft.com]。対象がXPSP2と2003SP1とかなってるのが気になるし、試してないけど。

          親コメント
    • by Anonymous Coward

      今はSymantecになってるからどこのことだかわからないの? 旧VeriSignだよ

    • by Anonymous Coward

      ドメイン見て会社に訪ねて行って「ふむふむ、御社は...」ってやって一個ずつ判断したけりゃやるのは勝手にゃ。

      • by Anonymous Coward

        実在を確認したってしょうがないですよ
        取引に足る会社かどうかです

  • by Anonymous Coward on 2015年11月03日 9時08分 (#2910997)

    やっぱりセキュリティ会社がウイルスをばら撒いてるという噂は本当だったんだ!

    外部からの指摘、調査にかかった時間、影響範囲の間違い、
    これでセキュリティ会社だっていうんだからどうしようもない。

    • by Anonymous Coward

      病院にいったら風邪もらうだろ、あれと一緒だ。

      • by Anonymous Coward

        ウィルスを除いているとき、ウィルスもまたこちらを覗いているのだ

    • by Anonymous Coward

      個人情報をばらまくセキュリティ会社があるんだから
      その程度驚くようなことではない

  • by Anonymous Coward on 2015年11月04日 8時45分 (#2911534)

    信用できる相手から信用できる方法でもらった証明書以外は使うべきじゃない。
    OSに元から入ってるどこの馬の骨ともわからんような会社が発行した証明書を信用するとか、頭がおかしい。

    • by Anonymous Coward

      皮肉なんでしょうけど、実際そうなってしまってるって話ですよね
      証明書チェーンに依存しきることは、もうできないってことでしょう
      あとは、単純な与信でなく、利便とリスクをすべていちいち天秤にかけながらの運用
      信頼できるのは自分の金庫だけ(自分の金庫の鍵は自分で生成して付ける)

    • by Anonymous Coward

      つPGP つGPG

  • by Anonymous Coward on 2015年11月05日 0時57分 (#2912124)

    こんなんどう考えても「どこかの企業が社員を買収して悪意ある行為をさせた」だろ。
    この問題が判明しなかったらこれらの企業の製品に向けた攻撃が大流行してただろう、
    そのときに一番利益を得るところが犯人。

    とりあえずAndroid死ね死ね、Operaブラウザ死ね死ね、
    McFee(Intel)ではなくSymantecのほうを買収する、
    となるとまぁ浮かぶ企業はあそこくらいしかないけどな

    • by Anonymous Coward

      この辺のコメント [security.srad.jp]とかそのリンク先 [livedoor.jp]でいくらか詳しい情報が出てますよ。

      (多分、CT関係の)テストの為に有名どころな他人のドメインの証明書(有効期間2日)を
      本番環境で勝手に作ってしまったってのが最初に発覚した問題のあらすじだと思いますよ。

      悪意もクソもなく、ただひたすらにモラルや技術力や想像力に欠けていたというだけの話。
      CTのテストでそれも相手がCTの提案者であるGoogleだったから白日の元に晒されたけれ

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...