【Web業界激震】Google激おこ。シマンテックのSSL証明書が使用不能に?

FreePhotosART / Pixabay

今、シマンテックのSSL証明書(ブランド名:VeriSign、GeoTrust、Thawte、RapidSSL)を買うのはちょっと待ったほうがいい

あ、ちなみに私はセキュリティの専門家ではないしニュース記者でもありません。
情報の信憑性という点ではかなり怪しいので、気になる人は証明書を購入、もしくは購入しようとしている販売店に確認を取ってください。

知り合いに向けて小耳に挟んだ話を流している程度のスタンスなのでその点をご留意ください(もう2chまとめに乗る程度にはメジャーな話だけどね)。

「EV証明書」って何?という方は下記ページで解説しておりますのでよろしければご覧ください。

常時SSLがSEO対策の重要なトレンドになっています。 技術的なことは可能な限りスッ飛ばして、「SEO対策としての常時SSL」を噛み砕いて説明します。 対象読者は個人サイトを運営するブロガー・アフィリエイター。
スポンサーリンク

先にゲスなまとめ

  1. かつて、シマンテック(の再販業者)がちゃんと審査をせずに google.com などの証明書を勝手に発行する事件が発生。Googleが迷惑を被った
  2. シマンテックは担当者をクビにしたり管理体制を強化したと発表して手打ちにした。
  3. ・・・はずだったがGoogleは気が済んでおらず
    Google「いんや、お前のところはもう信用ならん!出禁や!
    もうChromeからお前んところの証明書は外す!」激おこ
  4. 証明書が外れると、ブラウザ上でURLの横の緑色の鍵マークが表示されなくなる
    ばかりか「信頼されない証明書」のような表示がされるようになる(2017/03/17 12:38追記:私の勝手な憶測が入っていたので削除します)
  5. Web担当者「えっ…お客逃げるやん!
    つか高い金出して買ったのに何やっとんじゃワレ!」
  6. ニュース記者「シマンテック、やべえんじゃね?」←今ここ

本文

海外できな臭いニュースが流れている。

発端はChrome開発者フォーラムに発表されたこの文書。

Google グループでは、オンライン フォーラムやメール ベースのグループを作成したり、こうしたフォーラムやグループに参加したりすることで、大勢のユーザーと情報の共有やディスカッションを行うことができます。

これをニュースサイトが報じている。

(ニュースソース1:機械翻訳)

シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証(EV)ステータスの認識を停止することです。

(中略)

Googleの計画が実践されると、数十億件の既存のシマンテック社の証明書は、Google Chromeで今後12か月間信頼されなくなります。 これは段階的なプロセスであり、新しいChromeのすべてのリリースではChrome 59以降の新しいバッチの証明書が不信になり、33ヶ月以上の有効期間を持つ証明書の信頼が取り消されます。

(中略)

それに加えて、シマンテックでは、価値が大幅に低下するため、EV証明書を購入した顧客に対して、Chromeでこれ以上認識されない顧客に払い戻す必要があります。 Symantec EV証明書の禁止は、少なくとも1年間続きます。

シマンテックが顧客に発行するすべての交換用証明書は、Chromeで信頼できるようにするには有効期限が9ヶ月以内にする必要があります。 これは、9カ月ごとに証明書を簡単に置き換えることができない大企業の場合、さらなる問題を引き起こす可能性があります。

引用元:「Computerworld – To punish Symantec, Google may distrust a third of the web’s SSL certificates

ここは「止めることを検討している」という言い方だが、一方で

(ニュースソース2)

Googleは23日、Symantecが発行したSSLサーバ証明書「Extended Validation (EV)」には問題があるとして、Chrome上での認識を停止する措置を講じたことを発表した。

引用元:「Business Newsline – Google Chrome: Symantec発行の3万件のSSLサーバ証明書の認識を取消し

と「止まっちゃう」という言い方をするメディアもある。

そして、一方のシマンテックは抗議の声明を発表している。

Symantecは業界をリードする認証局の一つであることを誇りに思っています。私たちはGoogle社がChromeブラウザにおいてSymantec SSL/TLSサーバ証明書をターゲットとして行なうアクションに強く反論します。この行為は想定外のものであり、かつブログに書かれた内容は無責任なものであると考えます。私たちは、この行為がSSL/TLSサーバ証明書に対するインターネットコミュニティの不確かな状況や不信感を生じさせるために行われたものではないことを願います。

引用元:「シマンテック公式ブログ – Symantec Backs Its CA

俺なりのまとめ

冒頭のまとめでも書いたが、もうすこし真面目に書くと、

  • シマンテックの「EV証明書」が今後のChromeブラウザのバージョンアップで使用不能になるかもしれない(ここんとこイマイチ不明瞭)
    この動きにFirefox(Mozilla)も追随するかもしれない
  • EV証明書とは、企業の実在確認などの調査を厳密に行って発行されるクッソ高い(ウン十万~)商品で、銀行など大手企業がビジネス上の「箔」を付けるために購入する
  • EV証明書が使用不能になると、ブラウザ上でURLの横の緑色の鍵マークが表示されなくなる
    ばかりか「信頼されない証明書」のような表示がされるようになる(2017/03/17 12:38追記:私の勝手な憶測が入っていたので削除します)
  • なんでそんなことになったかというと、シマンテック証明書の販売代理店?がちゃんとした身元確認をしないまま google.com などの有名所のドメインをクラッカーに販売して混乱を起こした事件が過去にあるが、それに対する対応が甘いと未だにGoogleが激おこ
  • 今後のChromeブラウザをリリースする時にシマンテックの証明書を信用しないようにするとフォーラムで発表している
  • シマンテックはSSL証明書業界で世界3割程度のシェアを持つ超大手であり、ここの証明書が使用不能になると相当な数の企業Webサイトに影響があるため、相当な混乱が予想される

(ここから俺の下衆の勘繰り)

  • 「総合セキュリティ企業」のブランドで確固たる地位にあるシマンテックの証明書が「信用ならない」と言われるということは、シマンテックブランドの失墜につながる
  • 企業はシマンテックの「ちゃんとしてそう」なブランドイメージに金を出している面が多分にある。
    そんな格調高いEV証明書が使用不能になるということは早い話「払った金返せ」という話になりうる
  • そうでなくとも仮に「稼働中で換えが効きにくいシステム」にEV証明書が使われていた場合、それを正常なものに置き換えるには相当なメンテナンスコストが掛かる
    少なからずシマンテックにはクレーム・補償問題が起きるのではないかと思われる
  • ( ´△`)。o0○ (つか、Google何様やねん)

という話。
関係者は注意されたし。

なお、この記事がいつの間にか消えてたら、筆者に何かあったとお察しください。

参考リンク

更に深掘りしたい方は下記ページもご覧ください。

常時SSLがSEO対策の重要なトレンドになっています。 技術的なことは可能な限りスッ飛ばして、「SEO対策としての常時SSL」を噛み砕いて説明します。 対象読者は個人サイトを運営するブロガー・アフィリエイター。

私以外に経緯をまとめた方の記事

(初めに言い訳しておくと、証明書界隈については詳しくないです。某誤訳量産サイトが適当な記事を書いていたので、なにか書かねばと思って書いているという程度のまとめ記事です。間違いなどあればご指摘ください)

証明書勝手に発行事件の解説

『【Web業界激震】Google激おこ。シマンテックのSSL証明書が使用不能に?』へのコメント

  1. 名前:イート 投稿日:2017/04/02(日) 10:21:02 ID:ac19f3e9c 返信

    ド素人ですが。
    ここ数日やたらとカスペルスキーさんが証明書関連のエラーを吐くのも
    これが理由なのだろうか…。
    大きいサイトの関連サイトっぽいところが引っ掛かることが多いけれども…。

    • 不可思議絵の具 名前:不可思議絵の具 投稿日:2017/04/02(日) 11:22:23 ID:1fd095279 返信

      今回はChromeの個別対応の話で、証明書そのものの価値が無くなる訳ではないので、また別の原因かもしれませんね。

      • 名前:イート 投稿日:2017/04/02(日) 20:17:53 ID:ac19f3e9c 返信

        返信ありがとうございます。
        セキュリティソフトのエラーなので、セカンドオピニオン含めて
        念入りにウイルスチェックしてそれでも心配なら
        Windowsから再インストールしてやり直した方がいいかもしれませんね。
        (あくまで個人的な感想です)