Googleは、ウェブのセキュリティ証明書発行に関するSymantecの最近のパフォーマンスに明らかに苛立っており、同じ過ちの再発防止のために複数の要求を提示した。
Symantecは9月、Transport Layer Security(TLS)証明書の発行に関する重大なミスを受けて、複数の従業員を解雇した。同社によると、「従業員のミス」によって、暗号化された証明書がGoogleやSymantecの同意なしにオンラインで発行され、攻撃者がHTTPSで保護されたGoogleのページになりすますことが可能になってしまったという。
Thawteが発行したそれらのExtended Validation (EV) プレ証明書は、google.comドメインとwww.google.comドメインを対象とするものだった。Symantecが問題に気づいた後、プレ証明書は即座に無効にされた。それらのプレ証明書が有効だった期間は1日だけなので、ユーザーのセキュリティが危険にさらされることはなかったと考えられている。
しかし、この問題について調べた詳細な報告書によると、ほかにも23件のテスト証明書が許可なしに発行され(Googleだけでなく、Operaと未開示の3つの組織も対象)、その後、さらに76のドメインの164件の証明書、未登録のドメインの2458件の証明書が発見されたという。
Googleがこの問題を独自に調査したところ、わずか数分で、「さらに複数の疑わしい証明書」が見つかった、と同社のソフトウェアエンジニアRyan Sleevi氏は米国時間10月28日のブログの投稿で述べた。
Sleevi氏によると、この問題の再発を防止するため、GoogleはSymantecが2016年6月1日以降に発行するすべての証明書で「Certificate Transparency」(CT)に対応することを義務づけるという。それが守られない場合、「Google Chrome」ブラウザはSymantecの証明書を使用するウェブサイトを安全ではない可能性があると警告するかもしれない。この警告には、ユーザーを尻込みさせるだけの効力がある。
Googleはさらに、同社が発見した証明書をなぜ検出できなかったかということに関する事後検証、Symantecの不手際の詳細、ミスが起こった理由、再発防止のために今後取られるべき対策について、Symantecが報告をアップデートするよう求めている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
