パスワードを忘れた? アカウント作成

Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される」記事へのコメント

  • by Anonymous Coward

    比喩なので感じ方は人それぞれだし、Googleのやり方に疑問を感じることも多いけど、今回の件に限れば「毒牙」という表現には違和感を感じた。
    最初にやらかしたのはSymantecでしょ、これ。
    厳しい措置だとは思うけどね。

    • by Anonymous Coward on 2018年02月08日 10時07分 (#3358028)

      結局、迷惑を被るのは利用者なんだけどね。
      Symantecを擁護する気はないが、利用者を人質にして脅しているのは893とやり方が変わらん。

      • Re:毒牙ですか (スコア:3, 参考になる)

        by Anonymous Coward on 2018年02月08日 11時10分 (#3358068)

        この件、Googleは直接の被害者だったわけで。

        自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? [livedoor.jp]

        大手セキュリティベンダーのSymantecの子会社で低価な証明書の発行サービスをやっている Thawteが、2015年9月14日にgoogle.com、www.google.com用のEV SSL証明書を、Googleに了解なく 不正に発行していたことが、証明書の公開監査記録(Certificate Transparency)によりわかった。

        実害がなかったとしても、そりゃ怒りますわな。
        加えて、後から他にもボロボロ出てきて「不正発行は少なくとも3万件」とかいう体たらく。
        むしろ、2年以上猶予を与えたGoogleは寛容なんじゃないの?

      • by Anonymous Coward on 2018年02月08日 10時25分 (#3358038)

        迷惑を被るのは利用者というのは本件に限らずよく聞きますが、今回の件は放置しておけば証明書がもたらす安全性を損ないます。
        どちらにしろSymantecがやらかした時点で迷惑は避けられないんですよ。

        今の証明書インフラの仕組みを考えると、時期の違いはあれども証明書無効化以外の対処はないと思います。
        より良い方法があるのであれば提案してあげると喜ばれると思いますよ(嫌味ではなく本気です)。

      • by Anonymous Coward

        利用者を人質にして脅したSymantecとそれに屈しなかったGoogleですね、わかります。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...