Symantec、同社発行のSSL/TLS証明書を信頼してもらうための対策をGoogleに提案 27
ストーリー by hylom
譲歩となるか 部門より
譲歩となるか 部門より
headless 曰く、
Symantecおよびパートナーの登録局(RA)が発行したSSL/TLS証明書のGoogle Chromeでの扱いについて、有効期限短縮やEVステータスの無効化がChromiumプロジェクトで3月に提案されたことを受け、Symantecが対案を示している(Symantec Official Blog、Register)。
この問題はSymantecやパートナーのRAが適切な確認を行わないまま証明書を大量に発行していたというもの。ChromiumプロジェクトのBlink開発チームの調査によれば、少なくとも3万件が数年にわたって不正発行されていたという。チームではSymantecの証明書発行ポリシーや業務を信頼できなくなったとして、ChromeでSymantecが発行した証明書の扱いを変更することを提案していた。
これに対してSymantecでは、同社の発行した証明書が幅広く使われており、置き換えが容易でないこと、世界の電子商取引の80%以上が同社の証明書により保護されていること、同社が世界最大のOV/EV証明書プロバイダーであることなどを挙げ、証明書による通信の保護を中断することなくGoogleの懸念を解消するための対策を提案している。
対策の内容としては、Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと、WebTrustによる定期的な審査を行い、報告書を公表すること、有効期限3か月のSSL/TLS証明書の幅広い提供を進め、有効期限9か月以上の証明書は9か月目に無料でドメインの再確認を実施すること、認証局としての運営を継続的に改善していくことなどを挙げている。
無駄な足掻き (スコア:3, 興味深い)
問題となっているのは正規の手順を踏まずに発行されたものなんだから、いくら手順を厳格化しても意味ないような…
それから定期的に買い換えるものなんだから、利用者としては置き換えは容易ですよね。
GoogleやらMSやらの比じゃない問題 (スコア:3, 興味深い)
「世界の電子商取引の80%以上が同社の証明書により保護されていること」を理由に、ガバナンスが効いてないことのツケを他に払わせようなんて企業は、それこそ独禁法で叩くべき事案じゃないのか?これ。
Re:GoogleやらMSやらの比じゃない問題 (スコア:3, 興味深い)
これからも正規の手順は踏みませんって宣言してるようなものですね
手順遵守がシマンテックのなすべき事なはずなのに、許可しないブラウザが悪いとでも言いたいのでしょうか。
まぁ実際にユーザーがクレームを入れるのはいつもフロントエンドなんですが。
Re: (スコア:0)
自分のCP/CPS公開してるんだから尊守してるなら胸張って問題ないと主張すればいいのになんでユーザー影響が~って方向から行くんだ
逸脱してるんなら潔くごめんなさいして発行し直すしかないだろう
Re:GoogleやらMSやらの比じゃない問題 (スコア:1)
即無効化するというなら支持しますね。
でも、MS「は」叩かれるだろうなぁ。。
Re: (スコア:0)
これ完全に脅迫ですよね。カチンと来た人も多いのでは。
Re: (スコア:0)
反省の色なし。
ページビュー目的の悪意のある記事かと思ったら (スコア:1)
ページビュー目的で公式発表の一部を切り出してセンセーショナルな記事にしてるのかなーと思い、タレコミ中の公式記事読んできた。
・・・
タレコミのまんまだった。タレコミ者、疑ってごめんなさい。
なお、タレコミ文中になかった情報を一つ見つけました。
>Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと
これ、2017/08/31までに完了予定だそうです。
まだ有料使ってるの? (スコア:0)
Let's encrypt.
Re: (スコア:0)
Let's encrypt.
StartComがやらかしてからは、ここに切り替えたけど
自動で更新とかできるから、楽で助かるわ
Re: (スコア:0)
Windows 案件での自動更新の方法をご指南いただきたいで候。
Re: (スコア:0)
https://letsencrypt.org/docs/client-options/#windows [letsencrypt.org] かな
Re: (スコア:0)
LE で OV、EV 証明書を発行してもらえるとは知りませんでした。
Re: (スコア:0)
どこで知ったんだそんな情報
Re: (スコア:0)
え?だってOV、EVのためにお金払ってるし。
日本法人がある企業 (スコア:0)
最近、撤退が著しい中、ちゃんと日本支社を置いて日本の雇用にも貢献してくれている会社だから…と思ったが、本件は流石に擁護しづらい。
Re: (スコア:0)
最近、撤退が著しい中、ちゃんと日本支社を置いて日本の雇用にも貢献してくれている
ないないないないないない。
ここはMSより反省しない。
全体がコントロールできてないと言う時点で信用してはいけないという例。
Re: (スコア:0)
そんな技術と関係ない理由で擁護しようとするなんて頭大丈夫か?
Re: (スコア:0)
そんなこと言うならセコムから証明書買ってあげなよ
Re: (スコア:0)
あんなヤクザな会社から証明書買うのもな…
置き換えは容易だろ? (スコア:0)
コスト負担を顧客に求めるのが難しいだけで。
Symanticが負担してチャッチャとマトモな奴に置き換えて回れば良いだけじゃん。
Re:置き換えは容易だろ? (スコア:1)
なんらかの専用APIで自動化されてたりしたら、置き換え困難、はあるかもしれませんね。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
期限前の入れ替えや、証明書が失効した場合の処理を考えていないような専用APIは作り直した方が良いのではと。
Re:置き換えは容易だろ? (スコア:1)
あ、いえ、「Symantecの機能を使ってて、更新とかしてるので、他の企業に変えるのが困難」だったら、という仮定です
# まあ、作り直すというか、やめたほうがよさそうですが
M-FalconSky (暑いか寒い)
Re:置き換えは容易だろ? (スコア:1)
でも、容易ではない。特にクライアント全てのルート証明書を更新するのが地獄。
クソフトに署名しない。 (スコア:0)
正確には、クソフトの発行元を与信しない。
あとおまけに、タイムスタンプサーバの公式無料化を。まだだったよな
Re: (スコア:0)
クリフトに空目しました。ごめんなさい。