【悲報】Google、シマンテック発行のSSL証明書を問答無用でブロックへ

2017年03月26日07:35

カテゴリ:
ニュース

タグ：: #ブラウザ; #Google; #セキュリティ

Googleは、シマンテック発行のSSL証明証に対し、厳しい処罰を検討しているという。

シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証（EV）ステータスの認識を停止することです。

シマンテックは、2015年のNetcraft調査によると、ウェブ上で使用される3つのSSL証明書のそれぞれについて約1つを担当し、世界最大の商用証明書の発行者となっています。数年にわたり買収した結果、VeriSign、GeoTrust、Thawte、RapidSSLなどの以前のスタンドアロン認証局のルート証明書を管理しています。

SSL / TLS証明書は、ブラウザとHTTPS対応のWebサイトとの間の接続を暗号化し、ユーザーが実際に意図したWebサイトを訪問していてバージョンを偽装していないことを確認するために使用されます。これらの証明書は、ブラウザおよびオペレーティングシステムでデフォルトで信頼されている証明機関として知られている組織によって発行されます。

証明書の発行と管理のプロセスは、ブラウザベンダーと認証機関を含む組織であるCA / Browser Forumによって作成されたルールによって管理されます。これらのルールに違反すると、ブラウザとOSベンダーは問題のある証明書の信頼を取り消し、責任ある証明機関を認可し、ルート証明書ストアからそれらを蹴り出すことができます。

最近の事件を調査したところ、シマンテックはドメイン制御の検証、不正な発行の証拠のログの監査、不正な証明書の発行の最小化など、認証機関に期待されるセキュリティ対策を支持していないことを示しています。

Googleの計画が実践されると、数十億件の既存のシマンテック社の証明書は、今後12か月間信頼されなくなります。
（後略）
https://translate.google.co.jp/translate?hl=ja&sl=en&tl=ja&u=http%3A%2F%2Fwww.computerworld.com%2Farticle%2F3184573%2Fsecurity%2Fto-punish-symantec-google-may-distrust-a-third-of-the-webs-ssl-certificates.html

スポンサードリンク

2: 超竜ボム(茸)＠＼(^o^)／ [US] 2017/03/25(土) 21:25:19.17 ID:CFSmSvf90.net

どこ使えばいいんだよ

4: ローリングソバット(dion軍)＠＼(^o^)／ [SE] 2017/03/25(土) 21:27:55.88 ID:nH4NJgzU0.net

わろた(絶望

17: グロリア(やわらか銀行)＠＼(^o^)／ [GB] 2017/03/25(土) 21:48:12.02 ID:vNu6A+ln0.net

verisignあかんかったら大混乱だろ

26: ミドルキック(庭)＠＼(^o^)／ [MY] 2017/03/25(土) 22:05:14.01 ID:gDlY6UuR0.net

いやrapidブロックしたら3割くらいダメじゃねえか

39: トラースキック(家)＠＼(^o^)／ [US] 2017/03/26(日) 03:13:00.23 ID:Itaa1i3o0.net

verisign使ってる日本のSSLはどうするんだ？

44: レインメーカー(神奈川県)＠＼(^o^)／ [BR] 2017/03/26(日) 04:02:24.63 ID:gjiiebH70.net

VeriSignがブロックだと、Microsoft系の会社は全て影響を受けるだろ。
確か、VSアプリの証明書は、実質VeriSignしか認めていない。
SSLのサイトなので、直接は関係ないけど、回り回ってとんでもない影響が出そうな予感。。。

3: 張り手(茸)＠＼(^o^)／ [JP] 2017/03/25(土) 21:25:39.50 ID:qYd/qoOz0.net

1/3くらい消えるなｗ

5: サソリ固め(やわらか銀行)＠＼(^o^)／ [RU] 2017/03/25(土) 21:28:13.17 ID:V+UL5O+K0.net

やっちまったなシマノ

6: エルボードロップ(家)＠＼(^o^)／ [US] 2017/03/25(土) 21:30:29.13 ID:YoG7v3ek0.net

費用負担はシマンテックに行くだろうが、
受け止め切れんだろう。

27: テキサスクローバーホールド(東京都)＠＼(^o^)／ [US] 2017/03/25(土) 22:08:46.28 ID:dkETH3YF0.net

2015年にSymantecの子会社がgoogle.comとwww.google.comのEV証明書を勝手に発行する事件があって
Googleさんおこ
その後のSymantecの対応がイマイチなのでGoogleさん今度は激おこ

という感じ？

32: フルネルソンスープレックス(catv?)＠＼(^o^)／ [TH] 2017/03/25(土) 22:53:30.47 ID:ol+uFGb00.net

https://www.symantec.com/connect/blogs/symantec-backs-its-ca
シマンテック側に言わせると
3万じゃないよ。127個だよ。
らしいけど？

23: バーニングハンマー(東京都)＠＼(^o^)／ [ﾆﾀﾞ] 2017/03/25(土) 22:00:19.74 ID:s2/3YNPm0.net

よくわからないけどなにが始まるんです？

25: ニールキック(庭)＠＼(^o^)／ [PT] 2017/03/25(土) 22:05:13.37 ID:rTs6N6Sb0.net

これ本当だとすると莫大な賠償金でシマンテック終わるな

11: ジャンピングDDT(神奈川県)＠＼(^o^)／ [EU] 2017/03/25(土) 21:37:03.23 ID:EcJ2v8vu0.net

くそ高くて取得に面倒なEV証明書が使えないなんて事になったら
訴訟が大変なことになるな

10: キチンシンク(神奈川県)＠＼(^o^)／ [US] 2017/03/25(土) 21:34:00.53 ID:DciDUu8R0.net

ウイルス撒いてる黒幕説すらあるシマンテック様がそんなこと

33: スパイダージャーマン(庭)＠＼(^o^)／ [IN] 2017/03/25(土) 23:40:55.33 ID:39jNBRg00.net

firefoxも取り消す言ってるな
googleだけじゃなく全体的な意志

37: スパイダージャーマン(秋田県)＠＼(^o^)／ [ﾆﾀﾞ] 2017/03/26(日) 02:08:02.50 ID:18LVvlcU0.net

わらた

元スレ: http://hayabusa3.2ch.sc/test/read.cgi/news/1490444685/

タグ：: #ブラウザ; #Google; #セキュリティ

スポンサードリンク

オススメ記事一覧

記事と関係のないコメント、連投は削除規制対象です

1 名無しのプログラマー 2017年03月26日 07:55 ID:V0Ue7hzn0

すごい事になってるな

2 名無しのプログラマー 2017年03月26日 08:14 ID:hIXhMRKW0

シマンテックは信用に関わるから抗議するやろね

3 Gamehard774 2017年03月26日 08:29 ID:.LBdB65G0

散々、言われているけどこれは終わりだな。
まぁ、今回のはここまで判断保留していた、弁解の余地待っていたので実は凄い温情だったと思うけどね。

4 名無しのプログラマー 2017年03月26日 08:29 ID:fqT5K4m20

つまり、どういうことだってばよ！？

5 名無しのプログラマー 2017年03月26日 08:31 ID:OsSLUdE00

> firefoxも取り消す言ってるな
> googleだけじゃなく全体的な意志
もう１つあったでしょ？うっ・・・頭が・・・・

6 名無しのプログラマー 2017年03月26日 08:45 ID:gRDFR1L.0

Chromeからベリサインを利用しているWebサイトが見れなくなるってこと？？

7 名無しのプログラマー 2017年03月26日 08:56 ID:IEPqUhco0

こんなんされたらネットバンキングとショッピング系が全滅やん

8 名無しのプログラマー 2017年03月26日 09:15 ID:8RdMsXXS0

firefox(モジラ)は実質Googleの下部組織やろ
MicrosoftとAppleがどう動くかが気になる

9 名無し 2017年03月26日 09:18 ID:LySkiB2L0

そのせいかな、プロバイダー管理画面に入ろうとしたらブロックされた

10 名無しのプログラマー 2017年03月26日 09:19 ID:JnV62x6H0

EVだけだめになるのかな？
ただのSSLは使い続けられるように読めるけど

11 名無しのプログラマー 2017年03月26日 09:34 ID:EEpMDmH90

信用で成り立ってる会社がこういうことするなら潰すべきだ
firefoxも追従してほしい

12 名無しのプログラマー 2017年03月26日 09:59 ID:aFZ.prSJ0

シマは昔はセキュリティソフトの中では比較的マシな部類でノートン先生とか言われてたのに、随分と地に落ちたもんだな

13 名無しのプログラマー 2017年03月26日 10:00 ID:F5Qlusbp0

認証局は一度の失敗で死ぬからな
リーダーのSymantecが即座に死ぬことは無いと思いたいが

14 名無しのプログラマー 2017年03月26日 10:12 ID:dpRA0LLO0

※12
ノートン先生っていうのは、NortonDoctorってツール名だったからだぞ
昔は先生がデフラグとかも虫眼鏡でチェックしながらやっているアニメーションで動いていたんだぞ

15 名無しのプログラマー 2017年03月26日 10:27 ID:SsLVScwU0

Google徹底してるなー

16 名無しのプログラマー 2017年03月26日 10:46 ID:84yWxro80

シマンテックは昔からゴミだったからな
ざまあとしか

17 名無しのプログラマー 2017年03月26日 10:54 ID:G8dKmQPC0

※10 Chrome（と、おそらくはBlink系ブラウザで証明書処理に変更が加えられていない場合）において…
1.EVはEVとして認識しない（＝普通の証明書と同じ）
2.シマンテックが発行した証明書の有効期限が、Blink（Chromeのブラウザーエンジン）開発チームの規定する有効期限よりも長い場合（この際、Chromeのメジャーバージョンアップデート毎にChromeが規定する有効期限が減少する）、「失効」扱いにする
◆例: Chrome 59だと、シマンテックの発行する証明書の有効期限開始日(rfc5280#section-4.1.2.5 "notBefore")が、アクセス時点の現在時刻から1023日を超える場合、無効となる。
Chrome 64 だと、シマンテックの発行する証明書の有効期限開始日から有効期限満了日が279日を超える場合、無効となる。
その他にも細々とルールがあるけど、面倒だから端折る。
github.com/sleevi/explainer
辺りを見ればいいと思う

18 名無しのプログラマー 2017年03月26日 10:56 ID:6bkmCUlh0

WosignとStartcom（中国）の時と対応違うねえw
同一資本で有ることを隠してクロス証明で片方ブロックしても×だったと言う、さらに悪質な奴なのに。

19 名無しのプログラマー 2017年03月26日 10:59 ID:Mw06Ua2G0

EVなんかイラネーっすよー証明書屋の資格商売みたいなもんだしー

で押し通しておいて良かった……のか？

20 名無しのプログラマー 2017年03月26日 11:11 ID:KIgNsFbQ0

セキュリティの根っこが腐るような話なんだから消費者を守るためなら強硬策に出て当然の話
シマンテックがダラダラしてんのが悪い

21 名無しのプログラマー 2017年03月26日 11:45 ID:4RPQmkrI0

またMS系のブラウザつかわな見れんサイトが出るってことか･･･？

22 名無しのプログラマー 2017年03月26日 14:00 ID:45kfy1QP0

さよならノートン先生

23 名無しのプログラマー 2017年03月26日 14:11 ID:PoRUz9zj0

仕方ない、セコムにするか

24 名無しのプログラマー 2017年03月26日 14:23 ID:65QPtLI20

証明書なんて税金みたいなもので上がりを必ず取れる楽な商売なんだから、
その運用管理ぐらいちゃんとやってほしい。

25 名無しのプログラマー 2017年03月26日 15:05 ID:gr4Jo9gz0

GlobalSignは違うよな？
GMO棚ぼただな

26 名無しのプログラマー 2017年03月26日 15:20 ID:RvHX0ZUV0

シマンテックから証明書貰ってた奴らはブチ切れるだろうな
下手でも手続き面倒なのに
違う所に金払って再度取得する羽目になるし
本気で金返せと言われる

こういうのはMS、Appleも追随するから
そのうちアップデート辺りで証明書無効化するだろうな

27 名無しのプログラマー 2017年03月26日 15:27 ID:BupoM4Zx0

よし、EVだけなら関係ないな

28 名無しのプログラマー 2017年03月26日 15:46 ID:bSPw26or0

セキュリティ商品が主力でもあるとこがこんなこと言われたんじゃ笑える
まあシマンテックは買収後買収前より劣るのは定番だが

29 名無しのプログラマー 2017年03月26日 15:48 ID:BA1s.rod0

企業のネットワーク管理者大変になりそうだな

30 名無しのプログラマー 2017年03月26日 15:55 ID:RMLhYzWC0

シマンテックやり放題だったから当然だろ。ウイルスバラまいてた疑惑も信憑性を増すってもんだ。

31 名無しのプログラマー 2017年03月26日 16:08 ID:yz70vvNU0

ノートンの誤検出で純正VGAドライバ潰されてからシマンテック自体信用してなかったからざまあだな

32 名無しのプログラマー 2017年03月26日 17:25 ID:myrSdXTi0

やぱりマッチポンプだたのか

33 名無しのプログラマー 2017年03月26日 17:49 ID:BdJsY6GJ0

以前からいろいろ言われてたよ
Googleがキレるくらいだから相当ヘイト溜まってたんだろう

あとこれに甘い対応しちゃうと他たくさんのサービスの信用に関わる

34 名無しのプログラマー 2017年03月26日 18:51 ID:HAN8NTwO0

> 2015年にSymantecの子会社がgoogle.comとwww.google.comのEV証明書を勝手に発行する事件があって

そんな事件があったとは。

金融機関や公的機関、verisign多いし、再発行の手続きは、時間かかる。

35 名無しのプログラマー 2017年03月26日 19:05 ID:VAPe3YfT0

「スマンテックｗｗｗ」

36 名無しのプログラマー 2017年03月26日 19:12 ID:0eG2vfeJ0

やるなら、さっさとブロックしないと。googleらしくない

37 名無しのプログラマー 2017年03月26日 19:32 ID:NZ4KUyz90

ノートン先生使ってる会社の
パソコンどうなるんやろ？

38 名無しのプログラマー 2017年03月26日 21:01 ID:.UBpkBh.0

バンバン買収してまともに統制しないからこうなるのよ、バカねえもう。

39 名無しさん 2017年03月26日 21:06 ID:FyO0aVG10

昔、シマンテックのノートンクラッシュガードをインストールしたら
余計にクラッシュするようになって
シマンテック製品は全部捨てた

40 名無しのプログラマー 2017年03月26日 22:09 ID:u9H4zF0N0

ノートンなんか10年以上前からPCに入れたらあかんクソの認識
会社のマシンに勝手に入れられてクソ重環境になって全員で抗議したことあるわ

41 名無しのプログラマー 2017年03月26日 23:06 ID:IJI9FBCO0

>>35
ﾄﾝﾄﾝ（床を指差し

42 名無しのプログラマー 2017年03月27日 00:11 ID:v43LRp7A0

元々2015年9月ごろに発覚した話が元なんだけど
今ごろ強制執行くらうまで数年放置で話がでかくなってるって、シマンテックはアホですかって話ですな

43 名無しのプログラマー 2017年03月27日 01:24 ID:NVgbThmL0

最近はログインも不要で情報の信頼性も自己判断すべきなサイトでもhttpsしか対応してなかったりするよね
ネットに無駄なコストと複雑性を加えてＩＴ業者の食い扶持にしてる感じ

44 名無しのプログラマー 2017年03月27日 01:33 ID:E.3152RF0

もう全員せーのでLet'sEncryptに移行しよーぜ

45 名無しのプログラマー 2017年03月27日 07:24 ID:yVT.Bvnn0

ほらな？
やっぱSSL使うのやめない？

46 New保守名無しさん 2017年03月27日 10:09 ID:PpmOjfkc0

Lets Encryptがメジャーになる日が来たか。さくらさん対応頼みますよ

47 名無しのプログラマー 2017年03月27日 13:23 ID:IQr2DrTt0

シマンテック使ってるサイト全てランキングから落とそう

48 名無しのプログラマー 2017年03月27日 16:52 ID:wLLaoyWt0

※18
WoSignは認証局に対する処分としては最も重い全ブラウザからのルート証明書失効処分になったからな。

今回検討されている処分は大まかに言うと2点
・Symantecが発行したEV証明書を通常証明書に格下げする
・Symantecが発行した既存の証明書の有効期限を制限する
要するに猶予期間1年ちょいやるから発行済みドメインを再チェックして証明書を発行しなおせ。それが済むまでお前んとこのEV証明書はEVとは認めない。期限内に再チェックされなかった(新しい証明書に更新されなかった)ドメインについては証明書を無効とする(アドレスバーにバツが出る)……ということ。

WoSignほどではないにしろ、Symantecが「最大手の俺を失効とかできるわけないだろｗｗｗ」とばかりに無責任な対応を続けていることを考えると、Googleの対応はすんげえ寛大。
なんたってGoogle自身が偽証明書を発行されてしまった被害者だからな。しかも1年以上我慢してたんだぜ。あの短気なGoogleが。
それこそ最大手ではなく中堅以下の認証局だったら間違いなくルート証明書取り消されてる。

49 名無しのプログラマー 2017年03月27日 17:58 ID:bol2XO8l0

SSLマンセーの流れって中国の金盾を目指してるの？

50 名無しのプログラマー 2017年03月27日 18:51 ID:MXdue.7r0

※49
中国やらのネットワーク中間経路で監視、検閲、改ざんを行う奴等に少しでも対抗するためにDNSを含めてTLSで暗号化してしまおうという業界団体の動きだよ

51 名無しのプログラマー 2017年03月27日 18:52 ID:NjjJR0Oz0

VeriSign Inc は今でも別個に存在するのか。日本ベリサインは名前借りてただけのようなもんか。そゆ変なの日本に多いなw
記事よく読んでいないが、VeriSignの名前が挙がってるってことはVeriSignそのものもダメダメなんかな？

52 名無しのプログラマー 2017年03月27日 18:59 ID:NjjJR0Oz0

※50
米国内でもの話しだろな。実際行ってるらしい政府機関の無差別な盗聴なんぞに大手IT関連はこぞって反対声明出すし、そういう国民性でもあるし

米国大手IT関連がそうなら当然の成り行きだわな

53 名無しのプログラマー 2017年03月27日 19:07 ID:NjjJR0Oz0

※52は陰謀論に乗ってみただけだが、そんな(アホなw)陰謀論でなくても、フリーWiFiなんぞでもよりより安全安心にとかの実質的なことだろうな

54 名無しのプログラマー 2017年03月27日 21:33 ID:8Tuu0gAq0

GMO株買わないと

55 名無しのプログラマー 2017年03月28日 00:01 ID:7cKmEgWc0

※43
SEO的にhttpsのほうが有利な方針だから今後もっと増えてく

56 名無しのプログラマー 2017年03月28日 02:09 ID:9DB8oLx50

スマンテック

57 名無しのプログラマー 2017年03月29日 09:47 ID:FSyF9TX50

シマンテックの社員だが内部はかなりテンパってるよｗ
転職活動始めるわ

58 名無しのプログラマー 2017年04月05日 23:11 ID:6W1zhula0

自分は、Googleよりも、シマンテック社のほうが契約年数が長い者だけど（日本がGoogleよりもYahooというだった時代から）、
ホントにit業界は意地悪な奴が多いね。
現代人の思いやりのなさの殆どは、ネットやit系が原因なんじゃないのか？

59 名無しのプログラマー 2017年04月13日 11:46 ID:80o979wy0

>>58
意地悪というか、シマンテックが糞なだけだろ。
金の為なら不正証明書も発行する。2015年に警告を受けても改善しない。
そりゃGoogleだって激おこになるだろうよ。
Googleは金の為というより、ユーザーの為にならないからシマンテックにペナルティを与えようとしているだけ。
勘違いしない方がいい。