アカウント名:
パスワード:
比喩なので感じ方は人それぞれだし、Googleのやり方に疑問を感じることも多いけど、今回の件に限れば「毒牙」という表現には違和感を感じた。最初にやらかしたのはSymantecでしょ、これ。厳しい措置だとは思うけどね。
結局、迷惑を被るのは利用者なんだけどね。Symantecを擁護する気はないが、利用者を人質にして脅しているのは893とやり方が変わらん。
この件、Googleは直接の被害者だったわけで。
自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? [livedoor.jp]
大手セキュリティベンダーのSymantecの子会社で低価な証明書の発行サービスをやっている Thawteが、2015年9月14日にgoogle.com、www.google.com用のEV SSL証明書を、Googleに了解なく 不正に発行していたことが、証明書の公開監査記録(Certificate Transparency)によりわかった。
実害がなかったとしても、そりゃ怒りますわな。加えて、後から他にもボロボロ出てきて「不正発行は少なくとも3万件」とかいう体たらく。むしろ、2年以上猶予を与えたGoogleは寛容なんじゃないの?
迷惑を被るのは利用者というのは本件に限らずよく聞きますが、今回の件は放置しておけば証明書がもたらす安全性を損ないます。どちらにしろSymantecがやらかした時点で迷惑は避けられないんですよ。
今の証明書インフラの仕組みを考えると、時期の違いはあれども証明書無効化以外の対処はないと思います。より良い方法があるのであれば提案してあげると喜ばれると思いますよ(嫌味ではなく本気です)。
利用者を人質にして脅したSymantecとそれに屈しなかったGoogleですね、わかります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
毒牙ですか (スコア:1)
比喩なので感じ方は人それぞれだし、Googleのやり方に疑問を感じることも多いけど、今回の件に限れば「毒牙」という表現には違和感を感じた。
最初にやらかしたのはSymantecでしょ、これ。
厳しい措置だとは思うけどね。
Re:毒牙ですか (スコア:-1)
結局、迷惑を被るのは利用者なんだけどね。
Symantecを擁護する気はないが、利用者を人質にして脅しているのは893とやり方が変わらん。
Re:毒牙ですか (スコア:3, 参考になる)
この件、Googleは直接の被害者だったわけで。
自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? [livedoor.jp]
実害がなかったとしても、そりゃ怒りますわな。
加えて、後から他にもボロボロ出てきて「不正発行は少なくとも3万件」とかいう体たらく。
むしろ、2年以上猶予を与えたGoogleは寛容なんじゃないの?
Re:毒牙ですか (スコア:1)
迷惑を被るのは利用者というのは本件に限らずよく聞きますが、今回の件は放置しておけば証明書がもたらす安全性を損ないます。
どちらにしろSymantecがやらかした時点で迷惑は避けられないんですよ。
今の証明書インフラの仕組みを考えると、時期の違いはあれども証明書無効化以外の対処はないと思います。
より良い方法があるのであれば提案してあげると喜ばれると思いますよ(嫌味ではなく本気です)。
Re: (スコア:0)
利用者を人質にして脅したSymantecとそれに屈しなかったGoogleですね、わかります。