【2017/7/21追記】
どうやらこの件、交渉が上手く行っていないようで、Symantecから証明書の再発行が推奨されています。
あくまで推奨なので実際どうなるかはわかりませんが、2017/8/8までに証明書を入れ替えないと、Chromeで証明書の警告が表示される可能性があります。
担当者の方は確認を取ったほうが良いですよ。
こんにちは。不可思議絵の具です。
今、シマンテックのSSL証明書(ブランド名:VeriSign、GeoTrust、Thawte、RapidSSL)を買うのはちょっと待ったほうがいいかも。
あ、ちなみに私はセキュリティの専門家ではないしニュース記者でもありません。
情報の信憑性という点ではかなり怪しいので、気になる人は証明書を購入、もしくは購入しようとしている販売店に確認を取ってください。
知り合いに向けて小耳に挟んだ話を流している程度のスタンスなのでその点をご留意ください(もう2chまとめに乗る程度にはメジャーな話だけどね)。
「EV証明書」って何?という方は下記ページで解説しておりますのでよろしければご覧ください。
先にゲスなまとめ
- かつて、シマンテック(の再販業者)がちゃんと審査をせずに google.com などの証明書を勝手に発行する事件が発生。Googleが迷惑を被った
- シマンテックは担当者をクビにしたり管理体制を強化したと発表して手打ちにした。
- ・・・はずだったがGoogleは気が済んでおらず
Google「いんや、お前のところはもう信用ならん!出禁や!
もうChromeからお前んところの証明書は外す!」激おこ - 証明書が外れると、ブラウザ上でURLの横の緑色の鍵マークが表示されなくなる
ばかりか「信頼されない証明書」のような表示がされるようになる(2017/03/17 12:38追記:私の勝手な憶測が入っていたので削除します) - Web担当者「えっ…お客逃げるやん!
つか高い金出して買ったのに何やっとんじゃワレ!」 - ニュース記者「シマンテック、やべえんじゃね?」←今ここ
本文
海外できな臭いニュースが流れている。
発端はChrome開発者フォーラムに発表されたこの文書。
これをニュースサイトが報じている。
(ニュースソース1:機械翻訳)
シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証(EV)ステータスの認識を停止することです。
(中略)
Googleの計画が実践されると、数十億件の既存のシマンテック社の証明書は、Google Chromeで今後12か月間信頼されなくなります。 これは段階的なプロセスであり、新しいChromeのすべてのリリースではChrome 59以降の新しいバッチの証明書が不信になり、33ヶ月以上の有効期間を持つ証明書の信頼が取り消されます。
(中略)
それに加えて、シマンテックでは、価値が大幅に低下するため、EV証明書を購入した顧客に対して、Chromeでこれ以上認識されない顧客に払い戻す必要があります。 Symantec EV証明書の禁止は、少なくとも1年間続きます。
シマンテックが顧客に発行するすべての交換用証明書は、Chromeで信頼できるようにするには有効期限が9ヶ月以内にする必要があります。 これは、9カ月ごとに証明書を簡単に置き換えることができない大企業の場合、さらなる問題を引き起こす可能性があります。
引用元:「Computerworld – To punish Symantec, Google may distrust a third of the web’s SSL certificates」
ここは「止めることを検討している」という言い方だが、一方で
(ニュースソース2)
Googleは23日、Symantecが発行したSSLサーバ証明書「Extended Validation (EV)」には問題があるとして、Chrome上での認識を停止する措置を講じたことを発表した。
引用元:「Business Newsline – Google Chrome: Symantec発行の3万件のSSLサーバ証明書の認識を取消し」
(リンク切れ:http://businessnewsline.com/)
と「止まっちゃう」という言い方をするメディアもある。
そして、一方のシマンテックは抗議の声明を発表している。
Symantecは業界をリードする認証局の一つであることを誇りに思っています。私たちはGoogle社がChromeブラウザにおいてSymantec SSL/TLSサーバ証明書をターゲットとして行なうアクションに強く反論します。この行為は想定外のものであり、かつブログに書かれた内容は無責任なものであると考えます。
私たちは、この行為がSSL/TLSサーバ証明書に対するインターネットコミュニティの不確かな状況や不信感を生じさせるために行われたものではないことを願います。
引用元:「シマンテック公式ブログ – Symantec Backs Its CA」
(リンク切れ:https://www.symantec.com/connect/ja/blogs/symantec-backs-its-ca-0)
私なりのまとめ
冒頭のまとめでも書きましたが、もうすこし真面目に書くと、
- シマンテックの「EV証明書」が今後のChromeブラウザのバージョンアップで使用不能になるかもしれない(ここんとこイマイチ不明瞭)
この動きにFirefox(Mozilla)も追随するかもしれない - EV証明書とは、企業の実在確認などの調査を厳密に行って発行されるクッソ高い(ウン十万~)商品で、銀行など大手企業がビジネス上の「箔」を付けるために購入する
- EV証明書が使用不能になると、ブラウザ上でURLの横の緑色の鍵マークが表示されなくなる
ばかりか「信頼されない証明書」のような表示がされるようになる(2017/03/17 12:38追記:私の勝手な憶測が入っていたので削除します) - なんでそんなことになったかというと、シマンテック証明書の販売代理店?がちゃんとした身元確認をしないまま google.com などの有名所のドメインをクラッカーに販売して混乱を起こした事件が過去にあるが、それに対する対応が甘いと未だにGoogleが激おこ
- 今後のChromeブラウザをリリースする時にシマンテックの証明書を信用しないようにするとフォーラムで発表している
- シマンテックはSSL証明書業界で世界3割程度のシェアを持つ超大手であり、ここの証明書が使用不能になると相当な数の企業Webサイトに影響があるため、相当な混乱が予想される
(ここから私の下衆の勘繰り)
- 「総合セキュリティ企業」のブランドで確固たる地位にあるシマンテックの証明書が「信用ならない」と言われるということは、シマンテックブランドの失墜につながる
- 企業はシマンテックの「ちゃんとしてそう」なブランドイメージに金を出している面が多分にある。
そんな格調高いEV証明書が使用不能になるということは早い話「払った金返せ」という話になりうる - そうでなくとも仮に「稼働中で換えが効きにくいシステム」にEV証明書が使われていた場合、それを正常なものに置き換えるには相当なメンテナンスコストが掛かる
少なからずシマンテックにはクレーム・補償問題が起きるのではないかと思われる - ( ´△`)。o0○ (つか、Google何様やねん)
という話。
関係者は注意されたし。
なお、この記事がいつの間にか消えてたら、筆者に何かあったとお察しください。
参考リンク
更に深掘りしたい方は下記ページもご覧ください。
