パスワードを忘れた? アカウント作成
13373388 story
ビジネス

SymantecがSSL証明書関連事業を売却へ 38

ストーリー by hylom
とかげのしっぽ 部門より

米SymantecがWebサイトセキュリティ事業などを米DigiCertに売却すると発表した(クラウドWatchプレススリリース)。

売却されるWebサイトセキュリティ事業には、SSL証明書発行などの事業も含まれている。Symantecに対しては、同社や傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していたことが問題とされており、Google Chromeなどで証明書の無効化や有効期限短縮などが議論されていた(過去記事)。

今後Symantecによって発生した証明書関連の問題はDigiCertが対応することになり、Symantecは売却によってこの問題から逃げたとする報道もある(ComputerWorld)。

  • by Anonymous Coward on 2017年08月08日 6時05分 (#3257695)

    「ババ抜き」という気がする。>部門名

    ここに返信
  • by Anonymous Coward on 2017年08月08日 8時20分 (#3257722)

    弊社のSSLをLetsEncryptにしても変化はなかったので。

    ここに返信
    • by Anonymous Coward on 2017年08月08日 9時19分 (#3257745)

      うちもしたいけど、格安にするならともかく無料にするってのは稟議のハードルが高くてねぇ。
      実際使える使えないはあっても、問い合わせ窓口があり日本語で連絡できるところじゃないと厳しい。自分だけなら何でもいいけど担当者不在時に他の人が対応するときに困るって言われると困る。

      とはいえ、社内利用でもオレオレ証明書使うよりずっと楽ってのは魅力なので使ってます。
      (オレオレは期間短いとめんどいし、長いと不測時の失効がこれまためんどい)

      • by Anonymous Coward

        うちもしたいけど、格安にするならともかく無料にするってのは稟議のハードルが高くてねぇ。

        外に丸投げする出来るか判断するのが稟議なの?
        わかる人材を社内で調達するってことはしないわけ?

        • Re:別にいいですよ (スコア:3, おもしろおかしい)

          by Anonymous Coward on 2017年08月08日 11時19分 (#3257823)

          <社内情シス部での会話>
          上司「来年の予算取りするから、必要なものの金額と理由をまとめた稟議書を作ってくれ」
          僕「こんな感じですね。あと、弊社WebサイトのSSL証明書は来年からLetsEncryptにするんで要らなくなりました」
          上司「年間の定額支払いで勘定してる項目が急に無くなると稟議委員会で説明求められるんだけど、それ変えて大丈夫なの?」
          僕「大丈夫です。セキュリティとかは問題ありません」
          上司「それ説明しないといけないから、大丈夫の根拠となる資料作って」→ 無駄な仕事が増える

          僕「分かりました作ります。」
          上司「あとそれ無料サービスらしいけど、万が一急にブラウザで失効させられたり、環境によってページが対応してないとかの問題が発生したら、その会社サポートしてくれるの?」
          僕「無料なので無いです。メールの質問には答えてくれそうです。」
          上司「弊社Webは自社製品のサポートサイトをを兼ねてるから、長時間止まったら困る」
          上司「万が一そうなった時、対応はお前が主体になるとは言え、すぐの対応ができないと困る。すぐ相談できる窓口がある有料契約ならまだしも、メール対応だけなら時間もかかるし状況が分からないと顧客に即座に説明できない」
          上司「もしお前が全部自力でとなれば労務費も上がるし、深夜や休日なら対応も大変だ。お前が有給の日に、直接対応を依頼できないのもまずい。ただでさえ他のサーバも面倒見てるお前にこれ以上負荷をかけたくない」
          上司「年間10万程度であれば稟議も問題なく通るし、それでお前に余計な負荷が増えないのであれば、労働力を考えれば安いものだ」
          上司それにお前には他にももっとやって欲しい社内システム環境の改善や刷新がある。そっちに注力して欲しいから、年間10万浮かすためだけに余計な手間がかかるものをやる必要はない」
          僕「この件に関しては、後輩にやらせるつもりです。まだ若いので人件費も安いですし、彼は飲み込みもいいでの」
          上司「分かる人間がいればいいという問題ではない。その後輩は確かにお前に近いほどできるやつだが、お前の元である程度修行して来年度は、人が足らない現場からの要請で出す予定だ」
          僕「後任は来るんですか?」
          上司「ただでさえ情シスはは非生産部門だから人の確保が難しい。来季予定のシステム刷新が進めば管理工数が減るんで今の人員でやっていけそうだし、そのためにも刷新をメインで考えるんだ」
          僕「分かりました」
          上司「コストを削減させる取り組みは評価するが、そのための人確保・管理工数・習得工数・リスクを考えたら10万で済むのは安いことだ」

          ってロープレしてみた。
          #暇人

          • Re:別にいいですよ (スコア:2, おもしろおかしい)

            by Anonymous Coward on 2017年08月08日 15時22分 (#3257935)

            >お前が有給の日に、直接対応を依頼できないのもまずい

            有休があるとか、とても日本企業の話とは思えん

          • by Anonymous Coward on 2017年08月08日 14時01分 (#3257892)

            Google「おい適当こいてんじゃねーよテメェァ、お前ェん所の証明書無効にすっから」
            Mozilla「Googleさんマジっぱねえっす、ついていくっす」

            上司「10万払ってるんだからサポートを依頼しろ」
            僕「対応検討中って言うばかりで決まらないようです」
            上司「…」
            僕「LetsEncryptは問題無いようですが」
            上司「…」
            僕「対策に証明書入れ替える必要があるんで、作業しますね。忙しいけど」
            上司「…」

            • by Anonymous Coward

              https://it.srad.jp/story/16/10/24/0624223/ [it.srad.jp]
              これに巻き込まれて、大変な思いしたときには
              提示される対応方法が二転三転して大変だったから、
              お金払っててもサポートなんてと思ってしまいますね。

              まぁ、安いから良いのだけれども・・・

        • by Anonymous Coward on 2017年08月08日 10時16分 (#3257785)

          外に丸投げする出来るか判断するのが稟議なの?
          わかる人材を社内で調達するってことはしないわけ?

          こうしてエンジニアでもない担当が生まれる
          大抵そういういい加減なとこは手当てもつかないみたいな
          ありものにだって使うにはコスト計上するのがまっとうなんですがねぇ

          /*
          ちなみに稟議は外注案件に限る言葉じゃないですよ
          (所定の重要事項について)主管者が案を作って関係者にまわし、文書で決裁・承認を得ること。
          */

          • by BIWYFI (11941) on 2017年08月08日 11時12分 (#3257819) 日記

            >こうしてエンジニアでもない担当が生まれる
            何言ってんの、今の時代企業が生き残るには技術より法律でしょ。
            で、法律となると英語は大障害。
            技術文献なら英語は楽だが(英語が読めない奴はIT技術者失格)、法務だと法体系の違う英語は可能な限り避けたい所。(国際法務は最上級スキル)
            意外と難問だよ。

            --
            -- Buy It When You Found It --
          • by Anonymous Coward

            分かりすぎる...
            むしろコストかけさせてくれないからletsencryptを勝手に使ってる中小企業勤務orz
            自分へのコスト(立案実装管理)と対外的なコスト(調達)払わないところだとなんちゃってシス管になるのが容易に想像できる
            #踏ん張ってるけどもう限界

        • by Anonymous Coward

          外に丸投げする出来るか判断するのが稟議なの?
          わかる人材を社内で調達するってことはしないわけ?

          うーん、意味がよくわからない。誤字を考慮しても。
          調達って、どういう人材のことを想定しているんだろうか。

        • by Anonymous Coward
          まだ来季の予算とか立てる立場になったことない若造かな?
        • by Anonymous Coward

          外に丸投げする出来るか判断するのが稟議なの?
          わかる人材を社内で調達するってことはしないわけ?

          わからないならわからないなりに発言すればいいんだけど、
          こういうわかってないのにわかったようなこと発言する人って
          誰も教えてくれなくなってしまうからいつまでも間違った知識のままとかありえる。

        • by Anonymous Coward

          何が言いたいのか全然分からんぞ。
          文句を言いたいらしいのは見当つくが、元コメの何に噛み付いているのかすら理解できん。

    • by Anonymous Coward

      個人用のメールの電子証明書(http://www.njc.co.jp/digitalid/price/)が
      年間3000円と一番安かったので、契約しようかなとか考えていたのだけど、
      こういうサービスもなくなるのかな?

  • by Anonymous Coward on 2017年08月08日 8時59分 (#3257736)

    あのハローワークも今はシマンテックの証明書なんだよね

    ここに返信
    • by Anonymous Coward

      そっちは、"Bug 870185 - Add Renewed Japanese Government Application CA Root certificate [mozilla.org]" のせいだろう。本当は、GPKIを使いたいはず。

      • by Anonymous Coward

        担当をポンポン変えて引継ぎがおざなりなせいか、役人は交渉能力が皆無ってのをまざまざと見せつけられる案件だな。

    • by Anonymous Coward

      日本政府の証明書使えばいいのに

      • by Anonymous Coward

        > 日本政府の証明書使えばいいのに

        やめてくれ
        読み取りに旧Ver. JavaどころかActiveX必須とかやらかしかねんのが
        日本官公庁のクオリティじゃないですか

        # 個人証明書だって政府のオレオレCA各自で入れるんだぜ

  • by Anonymous Coward on 2017年08月08日 12時17分 (#3257855)

    シマンテックの失効手順がグダグダだったことが発覚した模様。
        https://blog.hboeck.de/archives/888-How-I-tricked-Symantec-with-a-Fake... [hboeck.de]
    顧客の証明書の私有鍵の漏えいを認証局が察知した場合、24時間以内に失効するようCA/Bフォーラムの基本要件(BR)で規定してあるのですが、顧客の証明書の鍵対によく似ている (公開鍵が同じ) データを送って、認証局がちゃんと調べるかどうか実験した人がいたようで、その顛末。

    ここに返信
  • by Anonymous Coward on 2017年08月08日 12時51分 (#3257870)

    もう誰もVerisignという単語を覚えていないということだ

    ここに返信
    • by Anonymous Coward

      スラド歴15年だけど初めて聞いたよVerisignとか

    • by Anonymous Coward

      一番有名な照明局だと思ってたのになぁ

      #最近高いのでglobal signばっかりです

    • Symantecだということ以外関係無いのだけど、Norton Utilities [norton.com]って、まだあったのか
      珍しい、システム要件の記述にXPと10が同席してる

      # FastFindは付いてないんだろうな

  • by Anonymous Coward on 2017年08月08日 13時50分 (#3257886)

    島系列の証明書はうさんくさい、でよかったのに、trust chain がdigicert配下になっちゃうのね

    ここに返信
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...