グーグル、シマンテックが発行したTLS証明書に不信感

Chris Duckett (ZDNET.com) 翻訳校正: 湯本牧子 吉武稔夫 (ガリレオ)

2017-03-27 12:00

 Googleの「Chrome」チームは、Symantecが発行しているTransport Layer Security(TLS)証明書に対する信頼度を弱めることを提案した。この措置は段階的に行い、2018年初めには、Symantecとその傘下の認証局が発行する証明書のうち、「Google Chrome 64」で信頼されるのは有効期限が279日以内の証明書のみにするというものだ。

 GoogleのエンジニアであるRyan Sleevi氏は、「Blink」開発チームのメーリングリストへの投稿の中で、Symantecによる「数々の不具合」を受けて、Googleはユーザーが重大なリスクに直面すると考えていると述べた。

 Sleevi氏は次のように指摘している。「この調査を通じて、『Google Chrome』チームのメンバーが問い合わせるたびに、Symantecが説明する不正発行の規模は大きくなっていった。当初報告されたのは127件の証明書だったが、それが少なくとも3万件にまで増えている。これらの証明書は数年に及ぶ期間にわたって発行されていた」

 「Symantecは少なくとも4つの認証局に対し、証明書が発行できるような形で同社のインフラへのアクセスを許可したが、求められるほど十分にこうした権限を監督せず、これらの組織が適切な注意義務を怠っていた証拠を示されると、そうした情報をタイムリーに開示することも、同社に報告された問題の重大性を認識することもなかった」(Sleevi氏)

 信頼度を弱める措置と併せて、Sleevi氏はSymantecの「Extended Validation(EV)」ステータスを少なくとも1年にわたって無効にすることを提案し、Symantecがすでに発行している有効な証明書をすべて再発行するよう求めた。

 Sleevi氏は、Symantecが提供している証明書は全体の30%を超えるため、直ちに全面禁止してもうまくいかず、したがって段階的に信頼度を弱める必要があると指摘した。

 Sleevi氏によると、「Thawte、Verisign、Equifaxなど、特に広く支持されている第1認証局(CA)のいくつかをSymantecが買収したため、同社が発行する証明書では互換性のリスクが特に高い」という。

 「そうしたCAへの信頼を無効にすると、新旧両方のデバイスに対してセキュアな接続を提供するのがさらに難しくなる。サイト運営者の利用するCAがこれら両方のデバイスで認証されている必要があるからだ」(Sleevi氏)

 Sleevi氏は、GoogleがSymantecに対して一方的な措置を取ってこなかったのは、CAを信頼しないブラウザが1つだけならばユーザーはそれをブラウザの問題と見るからだと述べた。

 「われわれの願いは、この提案がセキュリティおよび互換性のリスクと、サイト運営者、ブラウザ、ユーザーのニーズとの適切なバランスを取るものとして見られることであり、われわれはあらゆるフィードバックを歓迎する」(Sleevi氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]