Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 25
ストーリー by hylom
とばっちりは利用者に 部門より
とばっちりは利用者に 部門より
あるAnonymous Coward曰く、
GoogleがSymantecによって発行された証明書を無効化する計画を発表した(Google Security Blog、GIGAZINE、DigiCert、Slashdot)。この問題は、Symantecやその傘下の認証局が適切でないプロセスによって大量にSSL証明書を発行していたというもの(過去記事)。
まず、2018年4月17日前後に安定版がリリースされる予定のChrome 66以降では2016年6月1日以前にSymantecによって発行された証明書が無効化され、2018年10月23日前後に安定版がリリースされる予定のChrome 70では、Symantecが発行したすべての証明書は信頼できないものとして取り扱われる。
また、今年8月、Symantecは認証関連の事業をDigiCertに売却することを発表しているが(過去記事)、DigiCertのシステムに移管される2017年12月1日以降は、Symantecから発行された証明書はChromeでは信頼されないものとして扱われ、この証明書を使用しているサイトの閲覧時などに警告やエラーが表示されるとのこと。
思い切ったことやるなぁ (スコア:1)
GIGAZINEの記事によると、
シマンテックのPKI事業はThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどのブランド名で認証局を運営しており、認証局としては30%以上のシェアを持つ大手です。
とのことだけど、30%の市場シェアを持つ認証局の証明書を無効化するっていうのも思い切った話だなぁ。なんか世界中のあちこちで悲鳴があがっているのが聞こえるような気が。
Re:思い切ったことやるなぁ (スコア:2)
DigiCert移行後に申請書を再発行すれば良いんでは?
Symantec系ならよっぽどアレな代理店経由でもなけりゃ、証明書は買いきり落としきりじゃなくて、有効期限内での再発行ができると思うけど。
ウチもSymantec系の証明書使ってるのがあったけど、再発行したから発行日付は今年になった。よってChrome66でも無効化されない(と読める)。
Chrome70までには期限切れなので、その時はふつうにDigiCertで延長するなり、他から証明書を買うなりすればいい。
Re:思い切ったことやるなぁ (スコア:1)
Symantec系のみしか扱ってないカートのとこだと
対応不明のとこもあったりするんで何ともですね
DigiCertがSymantec時代同様の契約内容でやってくれるなら
カートサービスも同様の契約内容で提供できますが
そうでないならコストが上がる可能性も。。。
他に移ろうにもカートごと変える選択肢しかなくなるみたいな
そこまで考えると
かなりギリギリの期間設定ではないかと思います
カート移行ってサイト引っ越し伴うケースが少なくないので
悠長に意思決定してると悲惨な未来が待っています
カートサービス側の意思決定が迅速でないようなら
カート使用側の意思決定がいつ見限って移行を決めるかですから
意思決定に関われない実際の現場の方々は戦々恐々でしょうね
Re: (スコア:0)
>Symantec時代同様の契約内容で
Symantecと同じじゃダメでしょ。
既にSymantecが発行した証明書の審査基準がデタラメだった、発行しちゃいけないとこに発行したってのが元だから、
更新時にDigiCertがSymantecとは別の新たな正しいプロセスで新たに審査して発行としないと、
結局DigiCertも最終的に無効化されるだけ
Re: (スコア:0)
>DigiCert移行後に申請書を再発行すれば良いんでは?
発行、確認、適用(場合によってはメンテナンス扱いにしたり)って、相当手間です。
1枚だけならまだしも、これがSymantec系すべてで!!
Re:思い切ったことやるなぁ (スコア:2)
どんなに大きな企業でも、債務超過になって、舐めた再建計画出したら、銀行から破産を宣告されるじゃん。この場合、GoogleとMozillaからお前信用ならないと言われただけの事。VeriSignの作ったPKIのシステムの信用を保つには、発行プロセスに瑕疵があってはならなかった。
だいたい証明書とドメインの更新は忘れるものなので、混乱はあるでしょうね。
Re: (スコア:0)
破産を宣告するのは裁判所であって銀行じゃねえよ。Googleは裁判所か?
Re:思い切ったことやるなぁ (スコア:1)
破産手続開始の決定が出来るのは裁判所ですね。すいません。
破産手続開始の申し立てに訂正します。
Re:思い切ったことやるなぁ (スコア:1)
それだとSymantecが「証明書無効にして」とお願いしたみたいだ。
立法/司法のシステムと違いインターネットの証明書は事業者などの相互信頼によって成り立っているので、大きなシェアを持つところが「信頼に値しない」と決定したらそれは強制力に近いものを持つと見るのは間違いじゃないと思う。
うじゃうじゃ
Re: (スコア:0)
Googleは裁判所か?
ブラウザを配布する個々のソフトハウスは、裁判所を有する個々の主権国家みたいな物。
破産裁判も一国家(≒ソフトハウス)のみで行われる物でもなく、営業している各国家毎で行われる、のでわ。
Re: (スコア:0)
悲鳴ののち、他ブラウザに乗り換えるだけじゃないの?
SSLサイトに繋がらないブラウザなんて(ほぼ)使えないじゃん
Re: (スコア:0)
逆に他のブラウザを使ってるやつを非難できるじゃん
いつものセキュリティーで脅せば
「分かってて使ってるやつは、もし、なにか発生したら責任とれるんかい?」とかいうだろ
Re: (スコア:0)
ここに出てないけど、Mozillaも同意見だと記憶。
なので、同じような対応をする可能性はある。
MSは知らん。
Re: (スコア:0)
Firefoxにおける政府認証基盤(GPKI)や地方公共団体組織認証基盤(LGPKI)のことか。
Re: (スコア:0)
ここ数日で少し進展しそうな気配だな.
870185 - Add Renewed Japanese Government Application CA Root certificate [mozilla.org]
Re: (スコア:0)
Equifaxをよく目にするけど、これ完全に別件だしなぁ。
Re: (スコア:0)
どちらかというと、甘いなという印象。
信用できない認証局が発行した証明書を来年まで放置するってことだろ。
すぐに無効化すべきだろ、本来は。
結局、安全を軽視しているってことだよね。
Re:思い切ったことやるなぁ (スコア:1)
無効にしたらしたで、Chrome(=Google)側に問い合わせコストの増大や、Chromeが動かねーって風評になるので。
どんな対応をしようと納得できない人が出るのはどうしようもないよね。
Re: (スコア:0)
影響力を持ちすぎるとバッサリと決断できなくなるんですよ。
Re: (スコア:0)
ダメならすぐに戻せばいいだけだが、これで問題なければ世の中はChromeもといGoogleの影響力をますます恐れることになる
悪の帝国みたいな文句を言われずに着実に支配力を強めていくGoogleは上手いと思う
俺がインターネットだ! (スコア:1)
俺様がセキュリティだ!
そんなにセキュリティが大事なら、Android版Chromeでリンク先のURLが簡単に見られないのと短縮URL(goo.gl)を即刻辞めろ。
URLが確認できないのにSSLの信頼性とかへそで茶を沸かすわ。
Re: (スコア:0)
今はGoogleがやっているVirusTotalのURL判定が短縮アドレスでは正常動作しないのも改善して欲しいぞ。
Re: (スコア:0)
Google:ふっ…。では飲んでやるから茶を沸かしてみろ。はっはっはっはっ
さくらインターネットの告知 (スコア:0)
https://help.sakura.ad.jp/hc/ja/articles/115000130522 [sakura.ad.jp]
この日付を信じる限り、スケジュールは1ヶ月以上前にシマンテックへ通知済みのようだ。