Googleは、シマンテック発行のSSL証明証に対し、厳しい処罰を検討しているという。
シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証(EV)ステータスの認識を停止することです。
シマンテックは、2015年のNetcraft調査によると、ウェブ上で使用される3つのSSL証明書のそれぞれについて約1つを担当し、世界最大の商用証明書の発行者となっています。数年にわたり買収した結果、VeriSign、GeoTrust、Thawte、RapidSSLなどの以前のスタンドアロン認証局のルート証明書を管理しています。
SSL / TLS証明書は、ブラウザとHTTPS対応のWebサイトとの間の接続を暗号化し、ユーザーが実際に意図したWebサイトを訪問していてバージョンを偽装していないことを確認するために使用されます。これらの証明書は、ブラウザおよびオペレーティングシステムでデフォルトで信頼されている証明機関として知られている組織によって発行されます。
証明書の発行と管理のプロセスは、ブラウザベンダーと認証機関を含む組織であるCA / Browser Forumによって作成されたルールによって管理されます。 これらのルールに違反すると、ブラウザとOSベンダーは問題のある証明書の信頼を取り消し、責任ある証明機関を認可し、ルート証明書ストアからそれらを蹴り出すことができます。
最近の事件を調査したところ、シマンテックはドメイン制御の検証、不正な発行の証拠のログの監査、不正な証明書の発行の最小化など、認証機関に期待されるセキュリティ対策を支持していないことを示しています。
Googleの計画が実践されると、数十億件の既存のシマンテック社の証明書は、今後12か月間信頼されなくなります。
(後略)
https://translate.google.co.jp/translate?hl=ja&sl=en&tl=ja&u=http%3A%2F%2Fwww.computerworld.com%2Farticle%2F3184573%2Fsecurity%2Fto-punish-symantec-google-may-distrust-a-third-of-the-webs-ssl-certificates.html
どこ使えばいいんだよ
わろた(絶望
verisignあかんかったら大混乱だろ
いやrapidブロックしたら3割くらいダメじゃねえか
verisign使ってる日本のSSLはどうするんだ?
VeriSignがブロックだと、Microsoft系の会社は全て影響を受けるだろ。
確か、VSアプリの証明書は、実質VeriSignしか認めていない。
SSLのサイトなので、直接は関係ないけど、回り回ってとんでもない影響が出そうな予感。。。
1/3くらい消えるなw
やっちまったなシマノ
費用負担はシマンテックに行くだろうが、
受け止め切れんだろう。
2015年にSymantecの子会社がgoogle.comとwww.google.comのEV証明書を勝手に発行する事件があって
Googleさんおこ
その後のSymantecの対応がイマイチなのでGoogleさん今度は激おこ
という感じ?
https://www.symantec.com/connect/blogs/symantec-backs-its-ca
シマンテック側に言わせると
3万じゃないよ。127個だよ。
らしいけど?
よくわからないけどなにが始まるんです?
これ本当だとすると莫大な賠償金でシマンテック終わるな
くそ高くて取得に面倒なEV証明書が使えないなんて事になったら
訴訟が大変なことになるな
ウイルス撒いてる黒幕説すらあるシマンテック様がそんなこと
firefoxも取り消す言ってるな
googleだけじゃなく全体的な意志
わらた
元スレ: http://hayabusa3.2ch.sc/test/read.cgi/news/1490444685/