Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される 56
ストーリー by hylom
スケジュール通りではある 部門より
スケジュール通りではある 部門より
Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた(過去記事)。このスケジュールではChrome 66でSymantecによって発行された証明書が無効化されることになっているが、これに先駆けて、開発者やアーリーアダプタに向けたGoogle Chromeの実験的ビルド「Google Chrome Canary」でSymantecやその傘下であるRapidSSLなどが発行した証明書の無効化が行われたようだ。
bonkure曰く、
Googleさんは、Chromeにおける「Symantec発行の証明書の無効化」を宣言しておりましたが、最近リリースされましたChromeのCanaryのバージョンがめでたく66となり、Googleさんは本気だったことが証明されました。スラドも見事にその毒牙にかかり、Chrome Canaryでスラドのサイトにアクセスすると、「この接続ではプライバシーが保護されません」「it.srad.jpでは、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。「NET::ERR_CERT_AUTHORITY_INVALID」などとなります。
うちにも、本件に該当するRapidSSLの証明書を使用したサイトが多数あり、今後、証明書の入換作業を余儀なくされる事となるのですが、証明書の再発行は無償でしていただくとして、証明書の入換作業のコストはお客様に請求するわけにもいかず、困惑しております。
なお、スラドでは2月6日までにすべての証明書について更新を行っており、現在はこの影響を受けないようになっている。
毒牙ですか (スコア:1)
比喩なので感じ方は人それぞれだし、Googleのやり方に疑問を感じることも多いけど、今回の件に限れば「毒牙」という表現には違和感を感じた。
最初にやらかしたのはSymantecでしょ、これ。
厳しい措置だとは思うけどね。
Re: (スコア:0)
タレコミ文は恨み節も混じってずいぶんネチネチした感じですね。
利害関係にある者がこうやって印象を盛りにいくのは仕方ないかと。
Re: (スコア:0)
念のために辞書も引いたけど、やはりネガティブな用法しかないわな。
悪の毒牙にかかる、とか。
Re:毒牙ですか (スコア:2)
かなり穿って見ると「毒をもって毒を制す」という解釈もできますね。
Re: (スコア:0)
数年前から黒っぽい話が出ていたのに信頼おけない認証局を選ぶから・・・>タレコミ
RapidSSL使うくらいなら、Let's Encryptで良くないですかね
???「もう売ったので、DigiCert社に聞いてください」
Re: (スコア:0)
これだけ猶予あって何もしてない、困惑だけしてる、逆恨みも良いところですね。
Re:毒牙ですか (スコア:3, 参考になる)
この件、Googleは直接の被害者だったわけで。
自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? [livedoor.jp]
実害がなかったとしても、そりゃ怒りますわな。
加えて、後から他にもボロボロ出てきて「不正発行は少なくとも3万件」とかいう体たらく。
むしろ、2年以上猶予を与えたGoogleは寛容なんじゃないの?
Re:毒牙ですか (スコア:1)
迷惑を被るのは利用者というのは本件に限らずよく聞きますが、今回の件は放置しておけば証明書がもたらす安全性を損ないます。
どちらにしろSymantecがやらかした時点で迷惑は避けられないんですよ。
今の証明書インフラの仕組みを考えると、時期の違いはあれども証明書無効化以外の対処はないと思います。
より良い方法があるのであれば提案してあげると喜ばれると思いますよ(嫌味ではなく本気です)。
Re: (スコア:0)
利用者を人質にして脅したSymantecとそれに屈しなかったGoogleですね、わかります。
まだあわてるような時間じゃない (スコア:1)
2016/06/01 以降に発行された Symantec 証明書は Chrome 70 まで生き残りますし、そもそも 66 もまだ Canary ですし。
厳しいながらもエンドユーザーには優しい措置 (スケジュール) と感じています。
Re:まだあわてるような時間じゃない (スコア:1)
ストーリーの最後に書いてありますが時間や作業は無料ではない。
今後、証明書の入換作業を余儀なくされる事となるのですが、証明書の再発行は無償でしていただくとして、証明書の入換作業のコストはお客様に請求するわけにもいかず、困惑しております。
Re: (スコア:0)
それは当たり前でしょ。自然災害に遭ったら神が一瞬で救ってくれるとでも思ってるの?
Re: (スコア:0)
これを自然災害だと思っているなんて・・・。
Re: (スコア:0)
Symantecが信頼を損なうようなことをしたんだから、Symantecに損害賠償請求したら?
Re:まだあわてるような時間じゃない (スコア:1)
神=Symantecの人なので
今回の件は自然災害(天災)であるし神(Symantec)が救ってくださるのです。
#一瞬はちょっと無理だと思う。
Re:まだあわてるような時間じゃない (スコア:1)
よし。集団訴訟やろう!
オーダー66 (スコア:0)
なんとなく言ってみたくなった。
Androidブラウザは影響受けるのか? (スコア:0)
AndroidOS自体、標準ブラウザやChromeアプリは影響受けるのでしょうか?
教えてえろい人
Re: (スコア:0)
エロサイトと関係が?
Re: (スコア:0)
普通に考えれば有るでしょう。
Re: (スコア:0)
わかりにくい質問ですみません。
AndroidOS自体もシマンテック系証明書を排除するのか気にしてます。
標準ブラウザとChromeアプリは別物と認識してて、Chromeアプリだけ排除するのか、
AndroidOSの定期セキュリティアップデートでOS自体もシマンテック証明書を排除するのか気にしてます。
Re: (スコア:0)
いつの時代のAndroid使っているの?
Re: (スコア:0)
Android4系〜8系になります。
Re: (スコア:0)
5以上の標準ブラウザってなんなの?
Re: (スコア:0)
そもそも排除しようとしているわけではないのです。
ある期間に発行されたシマンテック系の証明書を信用しなくなるだけで、対策されている(としている)現在発行されるシマンテック系証明書は普通に使えます。
Re: (スコア:0)
GoogleはSymantecを排除する認識です。
そのため、SymantecはSSL部門をDigiCertに売却しました。
現在発行してるのはSymantecではなく、売却先のDigiCertです。
https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq [symantec.com]
https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1742 [sakura.ad.jp]
Re: (スコア:0)
それは、前後関係が全く異なりますよね?
2017/7/28時点では下記の内容だったはずで、Symantecが新しいPKI作るって内容だったと思います。
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKw... [google.com]
・古いSymantecの証明書は段階的に排除。
・Symantecは近代化されたPKIを構築する。
・近代化されたPKIができるまでは3rd partyで証明書発行
2017/8/2
Symantecが証明書事業を DigiCertに売却することを発表
2017/9/11
Googleが7/28の内容を最終決定として、DigiCertに差し替えた対応を発表
https://security.googleblo [googleblog.com]
Re: (スコア:0)
こちらでは、今回の騒動は
Symantecグループが、ドメインの持ち主以外(第三者)に証明書を発行していたことが
発端だと認識しています。
そのため、Google(Chrome)はSymantecに夏までにどうするのか対処を求めて、Symantecは売却という結論に至ったと認識しました。
>Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた
https://security.srad.jp/story/17/03/26/064241/ [security.srad.jp]
Re: (スコア:0)
話をもとに戻して、何をもって排除という認識自体が食い違っている気がします。
Googleがやったのは信頼できる発行方法を求めるとともに信頼できないとみなした証明書を信頼しない、というだけでSymantecを排除するとは読み取れないのですが・・・
信頼できる環境を構築を自前で実施できなかった、もしくは実施するコストとメリットを比べてやるに至らなかったから身売りする、というのがGoogleがSymantecを排除した結果ということでしょうか?
証明書に対する信頼を売り物にしていた企業に信頼を求めることが排除というのであれば、それはなかなか地獄絵図ですね。
証明書の入換作業のコストはお客様に請求するわけにもいかず、困惑 (スコア:0)
客からしてみたらそんなので請求されるのは筋違いだよなぁ。
言い方厳しいけど、そこを選んで購入してしまった側が悪いからしゃーない。
運がなかったと思って諦めて負担するしかない。それが請け負った側の責任であり、そういう事故の可能性も見越して最初から費用請求しないと。
ライブラリなんかもそうでしょ。サポート打ち切られてしまったり、ライブラリなどの開発元が修正しない脆弱性が出てしまった場合なども、そのライブラリを選んでしまった開発側の選択が悪い。
#すべて放り投げて客を困らせる業者も多いけど、それはそれでそんなとこに仕事を依頼した客が悪いw(めちゃくちゃ理論)
Re: (スコア:0)
そんな開発会社を選んでしまった発注者が悪い。
Re: (スコア:0)
って誰が言うんだ?その発言をして意味のあるやつが言ったらそいつの正気を疑うぞ
Re: (スコア:0)
はぁ?
Symantecに決まってるだろ。
疑うも何も、もう奴は正気じゃない
真面目に対応するって11項目もの改善点あげておいて、
2ヶ月後には未着手で売却するような奴だぞw
Re: (スコア:0)
Re: (スコア:0)
PKIでは門外漢のSymantecのような怪しい業者を選んでしまったのが悪いし、資本のありそうな大手だから安心と思ったのなら、
ITにおいて何が安心なのか安全なのかを理解できない時代遅れの頭が悪い。特に日本によくありがちな創業年や社員のコスプレが
どれくらい上手いかで評価するような選び方をしてしまったのなら、もう完全に同情の余地はないな。
Re: (スコア:0)
Verisignを買収したSymantecがPKIの門外漢ですか・・・はぁ
Re: (スコア:0)
買収してブランド全部差し替え、とか言い出したあの時点で、VeriSignは廃業したと正しく理解すべきだった。
Re: (スコア:0)
それは、その通りとしか言えないわ!
Re: (スコア:0)
提案はするにしても最終的に決めるのは客じゃないのかな?
そこまで丸投げにしてもらえるなんて今までの経験上は無いんだけど
Chromeなんか使うのが悪い (スコア:0, フレームのもと)
認証局の信頼性を評価するのはサービス提供者と利用者であるべきで、ブラウザごときが口を出す話じゃない。
サービス提供者が本当にSymanticを信用できないと感じたなら、いつでも変更できる。
利用者は、サービス提供者に別の認証局を使うよう要望することができる。
しかし、そのような動きは一切ない。
なのにGoogleは独りよがりの判断で強行するという。利用者は馬鹿で、判断能力はないというわけだ。
といってもサービス提供者としては証明書を入れ替えざるを得ないわな。無駄なコストだ。
理知的なMicrosoftは追随しないだろうが(正しい)、MozillaはGoogleの尻馬に乗っかるようなこと言ってたな。まあMozillaだしな。
Re:Chromeなんか使うのが悪い (スコア:2)
今回の件は証明書業界のトップリーダーだったSymantecが通常ではない確認方法で証明書を発行したことに端を発します。
DVであればドメインの所有者であることを確認し、OV、EVであれば申請団体が実在することを確認しますが、その過程を個人で知ることはできないので、Googleや追随するMozila等ブラウザを開発する団体が告発し対応していくのはいいことだと思いますし、当たり前のことだと思います。
特に可能性としてはIntelという団体名のEVを使ったフィッシングサイトが作られたかもしれないところに問題があり、仮に詐欺被害等があった場合のことを考えると、事前に信頼性の置けない証明書に対しては信用しないという措置をブラウザにかけておくのは当然でしょう。
Re:Chromeなんか使うのが悪い (スコア:1)
> 理知的なMicrosoftは追随しないだろうが(正しい)
理知的とかそんな曖昧な基準のわけがないでしょうに
Microsoftだって、自社の基準に従わないものは排除してますよ
http://www.itmedia.co.jp/enterprise/articles/1708/10/news046.html [itmedia.co.jp]
# WoSignは、それなりに影響があったはず。
今回は影響度と過去のMSのプログラムにVerisignの証明書を使っているものがあるので
無効化できてないだけじゃないか?
Re: (スコア:0)
この話の問題と原因がわからないなら黙ってればいいのに…
Re: (スコア:0)
> なのにGoogleは独りよがりの判断で強行するという。利用者は馬鹿で、判断能力はないというわけだ。
言い方が悪意に満ち満ちているが、実際その通りじゃない? としか言い様が無い。
利用者の内、認証局の信頼性を一々評価している人が何割いると思っているのかね。
> といってもサービス提供者としては証明書を入れ替えざるを得ないわな。無駄なコストだ。
ほほう、不正しまくってる認証局やめるのが無駄なコストなわけか。
素晴らしい理論だ。君がセキュリティ関連に一切関わらない事を切に祈る。
Re: (スコア:0)
利用者の内、認証局の信頼性を一々評価している人が何割いると思っているのかね。
評価をまかせていているから利用者は気にしなくていいのですが?
認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?
Re: (スコア:0)
> 評価をまかせていているから利用者は気にしなくていいのですが?
> 認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?
?? 意味がわからない。
認証局をどこでもOKにしないのがChromeの対処であって、それに同意しているんだが。
んで、利用者が気にしなくていいなんて一言も言っていない。
実際問題気にしていない利用者が大半だろう、とは言っているけど。
全ての利用者が気にするのが本来だよ。でも、そうはなっていないしならないだろう。
だからChromeの対処も仕方なし、と思っている。
Re: (スコア:0)
認証局をどこでもOKにしないのがChromeの対処であって、それに同意しているんだが。
じゃぁ「利用者の内、認証局の信頼性を一々評価している人」じゃないですか。
んで、利用者が気にしなくていいなんて一言も言っていない。
いや、#3358127に書きました。
Re:Chromeなんか使うのが悪い (スコア:1)
横から失礼だけど、少なくとも建前上は、「利用者が気にしなくていい」で正解。
ってか、そんなことも知らんで書いてるのか・・・
利用者が気にするようなフローであれば、なんのためのWebTrust for CAなのかとw
JPNICのドキュメントでも読め
https://www.nic.ad.jp/ja/basics/terms/ca_browser_forum.html [nic.ad.jp]
以下引用
ユーザーはおのおのの認証局を信用すべきかどうかを確認する
必要がないという特徴があります
基本的にWebTrust for CAはCA/Bに基づいて作られているはず
https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.5.4.pdf [cabforum.org]
WebTrust for CAにパスしないとどのブラウザにも組み込んでもらえません。
そういう枠組みなのよw
なお、Symantecも他社がやらかしたときは、こんなにかっこいいことを言っているぞ
以下引用
DigiNotar のケースに見られるように認証局自体が信頼できないと判断されると、
ブラウザやOS、その他のアプリケーションで、ルート証明書が無効となり、
その認証局が発行した証明書はすべて失効扱いにされてしまいます。
https://www.jp.websecurity.symantec.com/welcome/pdf/wp_fakesslcert_inc... [symantec.com]
Re: (スコア:0)
> じゃぁ「利用者の内、認証局の信頼性を一々評価している人」じゃないですか。
ああ、悪い。
> 評価をまかせていているから利用者は気にしなくていいのですが?
を
> 評価をまかせていているから利用者は気にしなくていいのです「か」?
って見間違えてた。
何か意味通らないなー、と。
> 認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?
しかしこれに関しては意味わからないぞ?
元の#3358112でもChromeの対処を否定した覚えは全くないが。
ちょっと試したかったのだが (スコア:0)
Windows、Mac、Androidしか用意されてないので後日...