パスワードを忘れた? アカウント作成
13269510 story
暗号

Symantec、同社発行のSSL/TLS証明書を信頼してもらうための対策をGoogleに提案 27

ストーリー by hylom
譲歩となるか 部門より
headless 曰く、

Symantecおよびパートナーの登録局(RA)が発行したSSL/TLS証明書のGoogle Chromeでの扱いについて、有効期限短縮やEVステータスの無効化がChromiumプロジェクトで3月に提案されたことを受け、Symantecが対案を示している(Symantec Official BlogRegister)。

この問題はSymantecやパートナーのRAが適切な確認を行わないまま証明書を大量に発行していたというもの。ChromiumプロジェクトのBlink開発チームの調査によれば、少なくとも3万件が数年にわたって不正発行されていたという。チームではSymantecの証明書発行ポリシーや業務を信頼できなくなったとして、ChromeでSymantecが発行した証明書の扱いを変更することを提案していた。

これに対してSymantecでは、同社の発行した証明書が幅広く使われており、置き換えが容易でないこと、世界の電子商取引の80%以上が同社の証明書により保護されていること、同社が世界最大のOV/EV証明書プロバイダーであることなどを挙げ、証明書による通信の保護を中断することなくGoogleの懸念を解消するための対策を提案している。

対策の内容としては、Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと、WebTrustによる定期的な審査を行い、報告書を公表すること、有効期限3か月のSSL/TLS証明書の幅広い提供を進め、有効期限9か月以上の証明書は9か月目に無料でドメインの再確認を実施すること、認証局としての運営を継続的に改善していくことなどを挙げている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月02日 14時05分 (#3204262)

    問題となっているのは正規の手順を踏まずに発行されたものなんだから、いくら手順を厳格化しても意味ないような…
    それから定期的に買い換えるものなんだから、利用者としては置き換えは容易ですよね。

  • by Anonymous Coward on 2017年05月02日 14時08分 (#3204266)

    「世界の電子商取引の80%以上が同社の証明書により保護されていること」を理由に、ガバナンスが効いてないことのツケを他に払わせようなんて企業は、それこそ独禁法で叩くべき事案じゃないのか?これ。

    • by Anonymous Coward on 2017年05月02日 15時32分 (#3204324)

      これからも正規の手順は踏みませんって宣言してるようなものですね
      手順遵守がシマンテックのなすべき事なはずなのに、許可しないブラウザが悪いとでも言いたいのでしょうか。

      まぁ実際にユーザーがクレームを入れるのはいつもフロントエンドなんですが。

      親コメント
      • by Anonymous Coward

        自分のCP/CPS公開してるんだから尊守してるなら胸張って問題ないと主張すればいいのになんでユーザー影響が~って方向から行くんだ
        逸脱してるんなら潔くごめんなさいして発行し直すしかないだろう

    • by Anonymous Coward on 2017年05月02日 20時15分 (#3204529)

      即無効化するというなら支持しますね。
      でも、MS「は」叩かれるだろうなぁ。。

      親コメント
    • by Anonymous Coward

      これ完全に脅迫ですよね。カチンと来た人も多いのでは。

    • by Anonymous Coward

      反省の色なし。

  • by Anonymous Coward on 2017年05月03日 16時42分 (#3204914)

    ページビュー目的で公式発表の一部を切り出してセンセーショナルな記事にしてるのかなーと思い、タレコミ中の公式記事読んできた。
    ・・・
    タレコミのまんまだった。タレコミ者、疑ってごめんなさい。
    なお、タレコミ文中になかった情報を一つ見つけました。

    >Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと
    これ、2017/08/31までに完了予定だそうです。

  • by Anonymous Coward on 2017年05月02日 15時34分 (#3204327)

    Let's encrypt.

    • by Anonymous Coward

      Let's encrypt.

      StartComがやらかしてからは、ここに切り替えたけど
      自動で更新とかできるから、楽で助かるわ

    • by Anonymous Coward

      LE で OV、EV 証明書を発行してもらえるとは知りませんでした。

      • by Anonymous Coward

        どこで知ったんだそんな情報

        • by Anonymous Coward

          え?だってOV、EVのためにお金払ってるし。

  • by Anonymous Coward on 2017年05月02日 16時43分 (#3204374)

    最近、撤退が著しい中、ちゃんと日本支社を置いて日本の雇用にも貢献してくれている会社だから…と思ったが、本件は流石に擁護しづらい。

    • by Anonymous Coward

      最近、撤退が著しい中、ちゃんと日本支社を置いて日本の雇用にも貢献してくれている

      ないないないないないない。
      ここはMSより反省しない。
      全体がコントロールできてないと言う時点で信用してはいけないという例。

    • by Anonymous Coward

      そんな技術と関係ない理由で擁護しようとするなんて頭大丈夫か?

    • by Anonymous Coward

      そんなこと言うならセコムから証明書買ってあげなよ

      • by Anonymous Coward

        あんなヤクザな会社から証明書買うのもな…

  • by Anonymous Coward on 2017年05月02日 16時52分 (#3204387)

    コスト負担を顧客に求めるのが難しいだけで。
    Symanticが負担してチャッチャとマトモな奴に置き換えて回れば良いだけじゃん。

  • by Anonymous Coward on 2017年05月03日 1時29分 (#3204665)

    正確には、クソフトの発行元を与信しない。

    あとおまけに、タイムスタンプサーバの公式無料化を。まだだったよな

    • by Anonymous Coward

      クリフトに空目しました。ごめんなさい。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...