アカウント名:
パスワード:
AndroidOS自体、標準ブラウザやChromeアプリは影響受けるのでしょうか?教えてえろい人
わかりにくい質問ですみません。AndroidOS自体もシマンテック系証明書を排除するのか気にしてます。標準ブラウザとChromeアプリは別物と認識してて、Chromeアプリだけ排除するのか、AndroidOSの定期セキュリティアップデートでOS自体もシマンテック証明書を排除するのか気にしてます。
そもそも排除しようとしているわけではないのです。ある期間に発行されたシマンテック系の証明書を信用しなくなるだけで、対策されている(としている)現在発行されるシマンテック系証明書は普通に使えます。
GoogleはSymantecを排除する認識です。そのため、SymantecはSSL部門をDigiCertに売却しました。現在発行してるのはSymantecではなく、売却先のDigiCertです。
https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq [symantec.com]https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1742 [sakura.ad.jp]
それは、前後関係が全く異なりますよね?
2017/7/28時点では下記の内容だったはずで、Symantecが新しいPKI作るって内容だったと思います。 https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKw... [google.com] ・古いSymantecの証明書は段階的に排除。・Symantecは近代化されたPKIを構築する。・近代化されたPKIができるまでは3rd partyで証明書発行
2017/8/2Symantecが証明書事業を DigiCertに売却することを発表
2017/9/11Googleが7/28の内容を最終決定として、DigiCertに差し替えた対応を発表 https://security.googleblo [googleblog.com]
こちらでは、今回の騒動はSymantecグループが、ドメインの持ち主以外(第三者)に証明書を発行していたことが発端だと認識しています。そのため、Google(Chrome)はSymantecに夏までにどうするのか対処を求めて、Symantecは売却という結論に至ったと認識しました。
>Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた
https://security.srad.jp/story/17/03/26/064241/ [security.srad.jp]
話をもとに戻して、何をもって排除という認識自体が食い違っている気がします。
Googleがやったのは信頼できる発行方法を求めるとともに信頼できないとみなした証明書を信頼しない、というだけでSymantecを排除するとは読み取れないのですが・・・
信頼できる環境を構築を自前で実施できなかった、もしくは実施するコストとメリットを比べてやるに至らなかったから身売りする、というのがGoogleがSymantecを排除した結果ということでしょうか?証明書に対する信頼を売り物にしていた企業に信頼を求めることが排除というのであれば、それはなかなか地獄絵図ですね。
環境構築やコスト、メリットデメリットなどお話ではなく、「信頼を提供する」認証局が不正を働いていたことにより、この認証局は「信頼出来なくなった」という根本的なお話です。
類似例だと、同じく不正発行を働いていた中国WoSign認証局はGoogle(Chrome)含め他のOSベンダーから昨年排除されました。同じことがSymantecでも起こり始めているというお話です。(←私の認識)
そうなる前に認証部門をDigiCertへ売却しました。
#3358608 ですが、概ね同様の認識です。下に経緯を全く無視した変なコメントがついていますが・・・
類似例だと、同じく不正発行を働いていた中国WoSign認証局はGoogle(Chrome)含め他のOSベンダーから昨年排除されました。同じことがSymantecでも起こり始めているというお話です。(←私の認識)そうなる前に認証部門をDigiCertへ売却しました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
Androidブラウザは影響受けるのか? (スコア:0)
AndroidOS自体、標準ブラウザやChromeアプリは影響受けるのでしょうか?
教えてえろい人
Re: (スコア:0)
普通に考えれば有るでしょう。
Re: (スコア:0)
わかりにくい質問ですみません。
AndroidOS自体もシマンテック系証明書を排除するのか気にしてます。
標準ブラウザとChromeアプリは別物と認識してて、Chromeアプリだけ排除するのか、
AndroidOSの定期セキュリティアップデートでOS自体もシマンテック証明書を排除するのか気にしてます。
Re: (スコア:0)
そもそも排除しようとしているわけではないのです。
ある期間に発行されたシマンテック系の証明書を信用しなくなるだけで、対策されている(としている)現在発行されるシマンテック系証明書は普通に使えます。
Re:Androidブラウザは影響受けるのか? (スコア:0)
GoogleはSymantecを排除する認識です。
そのため、SymantecはSSL部門をDigiCertに売却しました。
現在発行してるのはSymantecではなく、売却先のDigiCertです。
https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq [symantec.com]
https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1742 [sakura.ad.jp]
Re: (スコア:0)
それは、前後関係が全く異なりますよね?
2017/7/28時点では下記の内容だったはずで、Symantecが新しいPKI作るって内容だったと思います。
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKw... [google.com]
・古いSymantecの証明書は段階的に排除。
・Symantecは近代化されたPKIを構築する。
・近代化されたPKIができるまでは3rd partyで証明書発行
2017/8/2
Symantecが証明書事業を DigiCertに売却することを発表
2017/9/11
Googleが7/28の内容を最終決定として、DigiCertに差し替えた対応を発表
https://security.googleblo [googleblog.com]
Re: (スコア:0)
こちらでは、今回の騒動は
Symantecグループが、ドメインの持ち主以外(第三者)に証明書を発行していたことが
発端だと認識しています。
そのため、Google(Chrome)はSymantecに夏までにどうするのか対処を求めて、Symantecは売却という結論に至ったと認識しました。
>Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた
https://security.srad.jp/story/17/03/26/064241/ [security.srad.jp]
Re: (スコア:0)
話をもとに戻して、何をもって排除という認識自体が食い違っている気がします。
Googleがやったのは信頼できる発行方法を求めるとともに信頼できないとみなした証明書を信頼しない、というだけでSymantecを排除するとは読み取れないのですが・・・
信頼できる環境を構築を自前で実施できなかった、もしくは実施するコストとメリットを比べてやるに至らなかったから身売りする、というのがGoogleがSymantecを排除した結果ということでしょうか?
証明書に対する信頼を売り物にしていた企業に信頼を求めることが排除というのであれば、それはなかなか地獄絵図ですね。
Re: (スコア:0)
環境構築やコスト、メリットデメリットなどお話ではなく、
「信頼を提供する」認証局が不正を働いていたことにより、
この認証局は「信頼出来なくなった」という根本的なお話です。
類似例だと、同じく不正発行を働いていた中国WoSign認証局はGoogle(Chrome)含め他のOSベンダーから
昨年排除されました。
同じことがSymantecでも起こり始めているというお話です。(←私の認識)
そうなる前に認証部門をDigiCertへ売却しました。
Re: (スコア:0)
#3358608 ですが、概ね同様の認識です。
下に経緯を全く無視した変なコメントがついていますが・・・
Re: (スコア:0)
環境構築やコスト、メリットデメリットなどお話ではなく、
「信頼を提供する」認証局が不正を働いていたことにより、
この認証局は「信頼出来なくなった」という根本的なお話です。
類似例だと、同じく不正発行を働いていた中国WoSign認証局はGoogle(Chrome)含め他のOSベンダーから
昨年排除されました。
同じことがSymantecでも起こり始めているというお話です。(←私の認識)
そうなる前に認証部門をDigiCertへ売却しました。