パスワードを忘れた? アカウント作成
13521348 story
インターネット

Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される 56

ストーリー by hylom
スケジュール通りではある 部門より

Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた(過去記事)。このスケジュールではChrome 66でSymantecによって発行された証明書が無効化されることになっているが、これに先駆けて、開発者やアーリーアダプタに向けたGoogle Chromeの実験的ビルド「Google Chrome Canary」でSymantecやその傘下であるRapidSSLなどが発行した証明書の無効化が行われたようだ。

bonkure曰く、

Googleさんは、Chromeにおける「Symantec発行の証明書の無効化」を宣言しておりましたが、最近リリースされましたChromeのCanaryのバージョンがめでたく66となり、Googleさんは本気だったことが証明されました。スラドも見事にその毒牙にかかり、Chrome Canaryでスラドのサイトにアクセスすると、「この接続ではプライバシーが保護されません」「it.srad.jpでは、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。「NET::ERR_CERT_AUTHORITY_INVALID」などとなります。

うちにも、本件に該当するRapidSSLの証明書を使用したサイトが多数あり、今後、証明書の入換作業を余儀なくされる事となるのですが、証明書の再発行は無償でしていただくとして、証明書の入換作業のコストはお客様に請求するわけにもいかず、困惑しております。

なお、スラドでは2月6日までにすべての証明書について更新を行っており、現在はこの影響を受けないようになっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年02月08日 9時30分 (#3358001)

    比喩なので感じ方は人それぞれだし、Googleのやり方に疑問を感じることも多いけど、今回の件に限れば「毒牙」という表現には違和感を感じた。
    最初にやらかしたのはSymantecでしょ、これ。
    厳しい措置だとは思うけどね。

    • by Anonymous Coward

      タレコミ文は恨み節も混じってずいぶんネチネチした感じですね。
      利害関係にある者がこうやって印象を盛りにいくのは仕方ないかと。

      • by Anonymous Coward

        念のために辞書も引いたけど、やはりネガティブな用法しかないわな。
        悪の毒牙にかかる、とか。

      • by Anonymous Coward

        数年前から黒っぽい話が出ていたのに信頼おけない認証局を選ぶから・・・>タレコミ
        RapidSSL使うくらいなら、Let's Encryptで良くないですかね

        ???「もう売ったので、DigiCert社に聞いてください」

      • by Anonymous Coward

        これだけ猶予あって何もしてない、困惑だけしてる、逆恨みも良いところですね。

  • by Anonymous Coward on 2018年02月08日 9時53分 (#3358016)

    2016/06/01 以降に発行された Symantec 証明書は Chrome 70 まで生き残りますし、そもそも 66 もまだ Canary ですし。
    厳しいながらもエンドユーザーには優しい措置 (スケジュール) と感じています。

  • by Anonymous Coward on 2018年02月08日 8時41分 (#3357979)

    なんとなく言ってみたくなった。

  • by Anonymous Coward on 2018年02月08日 8時53分 (#3357985)

    AndroidOS自体、標準ブラウザやChromeアプリは影響受けるのでしょうか?
    教えてえろい人

    • by Anonymous Coward

      エロサイトと関係が?

    • by Anonymous Coward
      AndroidにもCanaryあるから見てみれば?
      普通に考えれば有るでしょう。
      • by Anonymous Coward

        わかりにくい質問ですみません。
        AndroidOS自体もシマンテック系証明書を排除するのか気にしてます。
        標準ブラウザとChromeアプリは別物と認識してて、Chromeアプリだけ排除するのか、
        AndroidOSの定期セキュリティアップデートでOS自体もシマンテック証明書を排除するのか気にしてます。

        • by Anonymous Coward

          いつの時代のAndroid使っているの?

          • by Anonymous Coward

            Android4系〜8系になります。

            • by Anonymous Coward

              5以上の標準ブラウザってなんなの?

        • by Anonymous Coward

          そもそも排除しようとしているわけではないのです。
          ある期間に発行されたシマンテック系の証明書を信用しなくなるだけで、対策されている(としている)現在発行されるシマンテック系証明書は普通に使えます。

          • by Anonymous Coward

            GoogleはSymantecを排除する認識です。
            そのため、SymantecはSSL部門をDigiCertに売却しました。
            現在発行してるのはSymantecではなく、売却先のDigiCertです。

            https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq [symantec.com]
            https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1742 [sakura.ad.jp]

            • by Anonymous Coward

              それは、前後関係が全く異なりますよね?

              2017/7/28時点では下記の内容だったはずで、Symantecが新しいPKI作るって内容だったと思います。
              https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKw... [google.com]
              ・古いSymantecの証明書は段階的に排除。
              ・Symantecは近代化されたPKIを構築する。
              ・近代化されたPKIができるまでは3rd partyで証明書発行

              2017/8/2
              Symantecが証明書事業を DigiCertに売却することを発表

              2017/9/11
              Googleが7/28の内容を最終決定として、DigiCertに差し替えた対応を発表
              https://security.googleblo [googleblog.com]

              • by Anonymous Coward

                こちらでは、今回の騒動は
                Symantecグループが、ドメインの持ち主以外(第三者)に証明書を発行していたことが
                発端だと認識しています。
                そのため、Google(Chrome)はSymantecに夏までにどうするのか対処を求めて、Symantecは売却という結論に至ったと認識しました。

                >Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた

                https://security.srad.jp/story/17/03/26/064241/ [security.srad.jp]

              • by Anonymous Coward

                話をもとに戻して、何をもって排除という認識自体が食い違っている気がします。

                Googleがやったのは信頼できる発行方法を求めるとともに信頼できないとみなした証明書を信頼しない、というだけでSymantecを排除するとは読み取れないのですが・・・

                信頼できる環境を構築を自前で実施できなかった、もしくは実施するコストとメリットを比べてやるに至らなかったから身売りする、というのがGoogleがSymantecを排除した結果ということでしょうか?
                証明書に対する信頼を売り物にしていた企業に信頼を求めることが排除というのであれば、それはなかなか地獄絵図ですね。

  • 客からしてみたらそんなので請求されるのは筋違いだよなぁ。
    言い方厳しいけど、そこを選んで購入してしまった側が悪いからしゃーない。
    運がなかったと思って諦めて負担するしかない。それが請け負った側の責任であり、そういう事故の可能性も見越して最初から費用請求しないと。

    ライブラリなんかもそうでしょ。サポート打ち切られてしまったり、ライブラリなどの開発元が修正しない脆弱性が出てしまった場合なども、そのライブラリを選んでしまった開発側の選択が悪い。

    #すべて放り投げて客を困らせる業者も多いけど、それはそれでそんなとこに仕事を依頼した客が悪いw(めちゃくちゃ理論)

    • by Anonymous Coward

      そんな開発会社を選んでしまった発注者が悪い。

      • by Anonymous Coward

        って誰が言うんだ?その発言をして意味のあるやつが言ったらそいつの正気を疑うぞ

        • by Anonymous Coward

          はぁ?

          Symantecに決まってるだろ。
          疑うも何も、もう奴は正気じゃない

          真面目に対応するって11項目もの改善点あげておいて、
          2ヶ月後には未着手で売却するような奴だぞw

    • by Anonymous Coward
      Symantecに損害請求したらええやん。
    • by Anonymous Coward

      PKIでは門外漢のSymantecのような怪しい業者を選んでしまったのが悪いし、資本のありそうな大手だから安心と思ったのなら、
      ITにおいて何が安心なのか安全なのかを理解できない時代遅れの頭が悪い。特に日本によくありがちな創業年や社員のコスプレが
      どれくらい上手いかで評価するような選び方をしてしまったのなら、もう完全に同情の余地はないな。

      • by Anonymous Coward

        Verisignを買収したSymantecがPKIの門外漢ですか・・・はぁ

        • by Anonymous Coward

          買収してブランド全部差し替え、とか言い出したあの時点で、VeriSignは廃業したと正しく理解すべきだった。

          • by Anonymous Coward

            それは、その通りとしか言えないわ!

    • by Anonymous Coward

      提案はするにしても最終的に決めるのは客じゃないのかな?
      そこまで丸投げにしてもらえるなんて今までの経験上は無いんだけど

  • by Anonymous Coward on 2018年02月08日 11時21分 (#3358076)

    認証局の信頼性を評価するのはサービス提供者と利用者であるべきで、ブラウザごときが口を出す話じゃない。
    サービス提供者が本当にSymanticを信用できないと感じたなら、いつでも変更できる。
    利用者は、サービス提供者に別の認証局を使うよう要望することができる。
    しかし、そのような動きは一切ない。
    なのにGoogleは独りよがりの判断で強行するという。利用者は馬鹿で、判断能力はないというわけだ。

    といってもサービス提供者としては証明書を入れ替えざるを得ないわな。無駄なコストだ。

    理知的なMicrosoftは追随しないだろうが(正しい)、MozillaはGoogleの尻馬に乗っかるようなこと言ってたな。まあMozillaだしな。

    • 今回の件は証明書業界のトップリーダーだったSymantecが通常ではない確認方法で証明書を発行したことに端を発します。
      DVであればドメインの所有者であることを確認し、OV、EVであれば申請団体が実在することを確認しますが、その過程を個人で知ることはできないので、Googleや追随するMozila等ブラウザを開発する団体が告発し対応していくのはいいことだと思いますし、当たり前のことだと思います。

      特に可能性としてはIntelという団体名のEVを使ったフィッシングサイトが作られたかもしれないところに問題があり、仮に詐欺被害等があった場合のことを考えると、事前に信頼性の置けない証明書に対しては信用しないという措置をブラウザにかけておくのは当然でしょう。

      親コメント
    • by Anonymous Coward on 2018年02月08日 15時08分 (#3358215)

      > 理知的なMicrosoftは追随しないだろうが(正しい)
      理知的とかそんな曖昧な基準のわけがないでしょうに

      Microsoftだって、自社の基準に従わないものは排除してますよ
      http://www.itmedia.co.jp/enterprise/articles/1708/10/news046.html [itmedia.co.jp]
      # WoSignは、それなりに影響があったはず。

      今回は影響度と過去のMSのプログラムにVerisignの証明書を使っているものがあるので
      無効化できてないだけじゃないか?

      親コメント
    • by Anonymous Coward

      この話の問題と原因がわからないなら黙ってればいいのに…

    • by Anonymous Coward

      > なのにGoogleは独りよがりの判断で強行するという。利用者は馬鹿で、判断能力はないというわけだ。

      言い方が悪意に満ち満ちているが、実際その通りじゃない? としか言い様が無い。
      利用者の内、認証局の信頼性を一々評価している人が何割いると思っているのかね。

      > といってもサービス提供者としては証明書を入れ替えざるを得ないわな。無駄なコストだ。

      ほほう、不正しまくってる認証局やめるのが無駄なコストなわけか。
      素晴らしい理論だ。君がセキュリティ関連に一切関わらない事を切に祈る。

      • by Anonymous Coward

        利用者の内、認証局の信頼性を一々評価している人が何割いると思っているのかね。

        評価をまかせていているから利用者は気にしなくていいのですが?

        認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?

        • by Anonymous Coward

          > 評価をまかせていているから利用者は気にしなくていいのですが?
          > 認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?

          ?? 意味がわからない。
          認証局をどこでもOKにしないのがChromeの対処であって、それに同意しているんだが。

          んで、利用者が気にしなくていいなんて一言も言っていない。
          実際問題気にしていない利用者が大半だろう、とは言っているけど。
          全ての利用者が気にするのが本来だよ。でも、そうはなっていないしならないだろう。
          だからChromeの対処も仕方なし、と思っている。

          • by Anonymous Coward

            認証局をどこでもOKにしないのがChromeの対処であって、それに同意しているんだが。

            じゃぁ「利用者の内、認証局の信頼性を一々評価している人」じゃないですか。

            んで、利用者が気にしなくていいなんて一言も言っていない。

            いや、#3358127に書きました。

            • by Anonymous Coward on 2018年02月08日 18時31分 (#3358337)

              横から失礼だけど、少なくとも建前上は、「利用者が気にしなくていい」で正解。
              ってか、そんなことも知らんで書いてるのか・・・
              利用者が気にするようなフローであれば、なんのためのWebTrust for CAなのかとw

              JPNICのドキュメントでも読め
              https://www.nic.ad.jp/ja/basics/terms/ca_browser_forum.html [nic.ad.jp]
              以下引用
               ユーザーはおのおのの認証局を信用すべきかどうかを確認する
               必要がないという特徴があります

              基本的にWebTrust for CAはCA/Bに基づいて作られているはず
              https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.5.4.pdf [cabforum.org]
              WebTrust for CAにパスしないとどのブラウザにも組み込んでもらえません。

              そういう枠組みなのよw

              なお、Symantecも他社がやらかしたときは、こんなにかっこいいことを言っているぞ
              以下引用
               DigiNotar のケースに見られるように認証局自体が信頼できないと判断されると、
               ブラウザやOS、その他のアプリケーションで、ルート証明書が無効となり、
               その認証局が発行した証明書はすべて失効扱いにされてしまいます。

              https://www.jp.websecurity.symantec.com/welcome/pdf/wp_fakesslcert_inc... [symantec.com]

              親コメント
            • by Anonymous Coward

              > じゃぁ「利用者の内、認証局の信頼性を一々評価している人」じゃないですか。

              ああ、悪い。
              > 評価をまかせていているから利用者は気にしなくていいのですが?

              > 評価をまかせていているから利用者は気にしなくていいのです「か」?
              って見間違えてた。
              何か意味通らないなー、と。

              > 認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?
              しかしこれに関しては意味わからないぞ?
              元の#3358112でもChromeの対処を否定した覚えは全くないが。

  • by Anonymous Coward on 2018年02月08日 16時24分 (#3358267)

    Windows、Mac、Androidしか用意されてないので後日...

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...