Googleのウェブマスター向けblogで、chrome66で、Symantecの認証局への信頼を無効化すると発表されました。
引用します。
Chrome での Symantec の認証局(Symantec が所有する Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのブランドも含む)への信頼が無効化される予定です。
本投稿では、サイト運営者が今回の無効化によって影響を受けるかどうかを判断する方法と、影響を受ける場合、いつまでに何をする必要があるのかについて説明します。
対象となる証明書の置き換えを行わないと、Chrome などの主要なブラウザの今後のバージョンで、サイトを正しく閲覧できなくなります。
こんな警告画面をだすみたいです。
なぜ、こんなことになったのか?
調べて整理してみました。
Symantecの手違いから始まった
発端は、Symantecが手違いで、Google.comを含む5つのドメインのテスト証明書を、無断で発行してしまったことみたいです。
2015年10月頃ですかね。
SSL証明書の2つの機能
を考えると、「ドメイン所有者に無断で発行してしまう」のは大問題です。
期限付きで実際に使える偽の身分証明書を発行するような話ですから、現実世界でやったら立派な犯罪ですよね・・たぶん。
しかも、Symantecは不正な証明書を23件と発表したのに、Googleから「他にも不正な証明書がある」と指摘されてから、「76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件が見つかった」と訂正するなど不手際続きでした。
正直、Googleでなくても「どういう管理してるんだよ」と思います。
間違った証明書が発行されるのを、水際で検知して止められなかった原因と対策が、きちんと示されないと、安全とみなすことはできない!
そうGoogleが考えるのは当たり前です。
その後のSymantecの対応も不十分だった
2015年10月の事件時に、GoogleはSymantecにGoogleに対しての明確な説明と対策の要求をしています。
でも、Symantec側の対応は不十分だったみたいです。
2017年1月に再度、Googleが不満をぶちまけています。
翻訳して引用すると。
Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなど、さまざまなブランド名で一連の認証局を運営するSymantecのPKI事業は、業界で開発されたCA / Browser Forum Baseline Requirementsに準拠していない多数の証明書を発行しました。
その後の調査では、シマンテックは、適切または必要な監督なしに証明書を発行する能力をいくつかの組織に委託し、しばらくの間、これらの組織のセキュリティ不足を認識していたことが明らかになりました。
となってます。
ようするに「セキュリティ不足を認識していたのに、ろくに監督もせず証明書を発行させていた」ということです。
これは最悪ですね。
Digicert社に事業ごと売っぱらう選択をした
Googleからの指摘に対してSymantec社も反論してました。
でも、どう考えてもSymantec社の方に非があるあるのは誤魔化せません。
この辺、のらりくらりと「記憶にありません」なんて言ってれば、時間切れでどうにかなるだろうなんて、どこぞの国の政治家や官僚のような手は通じません。
結局、Symantec社は、これらのセキュリティ事業をDigicert社に売っぱらうという対策をとりました。
Degicert社では、そのへんの管理をきちんとするということで、GoogleもDegicert社が発行する証明書は正当なものとして認めるということになりました。
それをうけて、Symantecから証明書の発行を受けていたユーザに対して、証明書の再発行と再インストール手続きをするように案内がでています。
ということなので、「 Symantec の認証局(Symantec が所有する Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのブランドも含む)への信頼が無効化される」ことで警告がでるのは、上記の移行措置のできない「不適切な証明書」か、なんらかの理由で移行措置をしなかったところだけみたいです。
なるほどね。
その証明書を使っているところも多いですから、いきなり警告がでまくるようになったら嫌だなと思いましたが、大丈夫そうですね。
