パスワードを忘れた? アカウント作成
13409555 story
ビジネス

Google、ChromeでのSymantecが発行した証明書の無効化スケジュールを発表 25

ストーリー by hylom
とばっちりは利用者に 部門より
あるAnonymous Coward曰く、

GoogleがSymantecによって発行された証明書を無効化する計画を発表した(Google Security BlogGIGAZINEDigiCertSlashdot)。この問題は、Symantecやその傘下の認証局が適切でないプロセスによって大量にSSL証明書を発行していたというもの(過去記事)。

まず、2018年4月17日前後に安定版がリリースされる予定のChrome 66以降では2016年6月1日以前にSymantecによって発行された証明書が無効化され、2018年10月23日前後に安定版がリリースされる予定のChrome 70では、Symantecが発行したすべての証明書は信頼できないものとして取り扱われる。

また、今年8月、Symantecは認証関連の事業をDigiCertに売却することを発表しているが(過去記事)、DigiCertのシステムに移管される2017年12月1日以降は、Symantecから発行された証明書はChromeでは信頼されないものとして扱われ、この証明書を使用しているサイトの閲覧時などに警告やエラーが表示されるとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • GIGAZINEの記事によると、

    シマンテックのPKI事業はThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどのブランド名で認証局を運営しており、認証局としては30%以上のシェアを持つ大手です。

    とのことだけど、30%の市場シェアを持つ認証局の証明書を無効化するっていうのも思い切った話だなぁ。なんか世界中のあちこちで悲鳴があがっているのが聞こえるような気が。

    • DigiCert移行後に申請書を再発行すれば良いんでは?
      Symantec系ならよっぽどアレな代理店経由でもなけりゃ、証明書は買いきり落としきりじゃなくて、有効期限内での再発行ができると思うけど。

      ウチもSymantec系の証明書使ってるのがあったけど、再発行したから発行日付は今年になった。よってChrome66でも無効化されない(と読める)。
      Chrome70までには期限切れなので、その時はふつうにDigiCertで延長するなり、他から証明書を買うなりすればいい。

      親コメント
      • by Anonymous Coward on 2017年09月16日 13時54分 (#3280956)

        Symantec系のみしか扱ってないカートのとこだと
        対応不明のとこもあったりするんで何ともですね

        DigiCertがSymantec時代同様の契約内容でやってくれるなら
        カートサービスも同様の契約内容で提供できますが
        そうでないならコストが上がる可能性も。。。
        他に移ろうにもカートごと変える選択肢しかなくなるみたいな

        そこまで考えると
        かなりギリギリの期間設定ではないかと思います
        カート移行ってサイト引っ越し伴うケースが少なくないので
        悠長に意思決定してると悲惨な未来が待っています

        カートサービス側の意思決定が迅速でないようなら
        カート使用側の意思決定がいつ見限って移行を決めるかですから
        意思決定に関われない実際の現場の方々は戦々恐々でしょうね

        親コメント
        • by Anonymous Coward

          >Symantec時代同様の契約内容で
          Symantecと同じじゃダメでしょ。

          既にSymantecが発行した証明書の審査基準がデタラメだった、発行しちゃいけないとこに発行したってのが元だから、
          更新時にDigiCertがSymantecとは別の新たな正しいプロセスで新たに審査して発行としないと、
          結局DigiCertも最終的に無効化されるだけ

      • by Anonymous Coward

        >DigiCert移行後に申請書を再発行すれば良いんでは?

        発行、確認、適用(場合によってはメンテナンス扱いにしたり)って、相当手間です。
        1枚だけならまだしも、これがSymantec系すべてで!!

    • どんなに大きな企業でも、債務超過になって、舐めた再建計画出したら、銀行から破産を宣告されるじゃん。この場合、GoogleとMozillaからお前信用ならないと言われただけの事。VeriSignの作ったPKIのシステムの信用を保つには、発行プロセスに瑕疵があってはならなかった。
      だいたい証明書とドメインの更新は忘れるものなので、混乱はあるでしょうね。

      親コメント
      • by Anonymous Coward

        破産を宣告するのは裁判所であって銀行じゃねえよ。Googleは裁判所か?

        • 破産手続開始の決定が出来るのは裁判所ですね。すいません。
          破産手続開始の申し立てに訂正します。

          親コメント
          • それだとSymantecが「証明書無効にして」とお願いしたみたいだ。
            立法/司法のシステムと違いインターネットの証明書は事業者などの相互信頼によって成り立っているので、大きなシェアを持つところが「信頼に値しない」と決定したらそれは強制力に近いものを持つと見るのは間違いじゃないと思う。

            --
            うじゃうじゃ
            親コメント
        • by Anonymous Coward

          Googleは裁判所か?

          ブラウザを配布する個々のソフトハウスは、裁判所を有する個々の主権国家みたいな物。
          破産裁判も一国家(≒ソフトハウス)のみで行われる物でもなく、営業している各国家毎で行われる、のでわ。

    • by Anonymous Coward

      悲鳴ののち、他ブラウザに乗り換えるだけじゃないの?
      SSLサイトに繋がらないブラウザなんて(ほぼ)使えないじゃん

      • by Anonymous Coward

        逆に他のブラウザを使ってるやつを非難できるじゃん

        いつものセキュリティーで脅せば

        「分かってて使ってるやつは、もし、なにか発生したら責任とれるんかい?」とかいうだろ

      • by Anonymous Coward

        ここに出てないけど、Mozillaも同意見だと記憶。
        なので、同じような対応をする可能性はある。
        MSは知らん。

      • by Anonymous Coward

        Firefoxにおける政府認証基盤(GPKI)や地方公共団体組織認証基盤(LGPKI)のことか。

    • by Anonymous Coward

      Equifaxをよく目にするけど、これ完全に別件だしなぁ。

    • by Anonymous Coward

      どちらかというと、甘いなという印象。
      信用できない認証局が発行した証明書を来年まで放置するってことだろ。
      すぐに無効化すべきだろ、本来は。
      結局、安全を軽視しているってことだよね。

      • by Anonymous Coward on 2017年09月16日 20時17分 (#3281121)

        無効にしたらしたで、Chrome(=Google)側に問い合わせコストの増大や、Chromeが動かねーって風評になるので。
        どんな対応をしようと納得できない人が出るのはどうしようもないよね。

        親コメント
      • by Anonymous Coward

        影響力を持ちすぎるとバッサリと決断できなくなるんですよ。

    • by Anonymous Coward

      ダメならすぐに戻せばいいだけだが、これで問題なければ世の中はChromeもといGoogleの影響力をますます恐れることになる
      悪の帝国みたいな文句を言われずに着実に支配力を強めていくGoogleは上手いと思う

  • by Anonymous Coward on 2017年09月16日 12時15分 (#3280917)

    俺様がセキュリティだ!

    そんなにセキュリティが大事なら、Android版Chromeでリンク先のURLが簡単に見られないのと短縮URL(goo.gl)を即刻辞めろ。
    URLが確認できないのにSSLの信頼性とかへそで茶を沸かすわ。

    • by Anonymous Coward

      今はGoogleがやっているVirusTotalのURL判定が短縮アドレスでは正常動作しないのも改善して欲しいぞ。

    • by Anonymous Coward

      Google:ふっ…。では飲んでやるから茶を沸かしてみろ。はっはっはっはっ

  • by Anonymous Coward on 2017年09月16日 11時52分 (#3280903)

    https://help.sakura.ad.jp/hc/ja/articles/115000130522 [sakura.ad.jp]

    この日付を信じる限り、スケジュールは1ヶ月以上前にシマンテックへ通知済みのようだ。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...