アラカン"BOKU"のITな日常

文系システムエンジニアの”BOKU”が勉強したこと、経験したこと、日々思うことを書いてます。

なぜ、GoogleがSymantec傘下のWEB証明書を失効させるようなことになっただろう。

 Googleのウェブマスター向けblogで、chrome66で、Symantec認証局への信頼を無効化することが発表されました。

webmaster-ja.googleblog.com

 

引用します。

Chrome での Symantec認証局Symantec が所有する Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのブランドも含む)への信頼が無効化される予定です。

本投稿では、サイト運営者が今回の無効化によって影響を受けるかどうかを判断する方法と、影響を受ける場合、いつまでに何をする必要があるのかについて説明します。

対象となる証明書の置き換えを行わないと、Chrome などの主要なブラウザの今後のバージョンで、サイトを正しく閲覧できなくなります。 

 

こんな警告画面をだすみたいです。

f:id:arakan_no_boku:20180420002629j:plain

 

なぜ、ここまでのことになったのか? 

恥ずかしながら知らなかったので、調べて整理してみました。

 

Symantecの手違いから始まった

 

発端は、Symantecが手違いで、Google.comを含む5つのドメインのテスト証明書を、無断で発行してしまったことみたいです。

www.itmedia.co.jp

 

2015年10月頃ですかね。 

SSL証明書の2つの機能

  • サイトの運営組織が実在し、ドメイン名の使用権があることを証明する。
  • WebブラウザとWebサーバ間で暗号化通信を行う公開キーを保証する。

を考えると、「ドメイン所有者に無断で発行してしまう」ということはとんでもない問題です。 

期限付きで実際に使える偽の身分証明書を発行するような話ですから、現実世界でやったら立派な犯罪ですよね・・たぶん。 

しかも、Symantecが不正な証明書を23件と発表したのに対して、Googleが「他にも不正な証明書がある」と指摘したら、さらに「76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件が見つかった」と訂正するなど、正直、Googleでなくても「どういう管理してるんだよ・・」と思わせるような対応をしたみたいです。 

間違った証明書が発行されるのを、水際で検知して止められなかった原因と対策が、きちんと示されないと、安全とみなすことはできない! 

そうGoogleが考えるのは当たり前です。

 

その後のSymantecの対応も不十分だった

 

2015年10月の事件時に、GoogleSymantecGoogleに対しての明確な説明と対策の要求をしています。 

でも、Symantec側の対応は不十分だったみたいです。 

2017年1月に再度、Googleが不満をぶちまけています。

security.googleblog.com

 

翻訳して引用すると。

Thawte、VeriSign、Equifax、GeoTrust、RapidSSLなど、さまざまなブランド名で一連の認証局を運営するSymantecPKI事業は、業界で開発されたCA / Browser Forum Baseline Requirementsに準拠していない多数の証明書を発行しました。

その後の調査では、シマンテックは、適切または必要な監督なしに証明書を発行する能力をいくつかの組織に委託し、しばらくの間、これらの組織のセキュリティ不足を認識していたことが明らかになりました。

 となってます。 

ようするに「セキュリティ不足を認識していたのに、ろくに監督もせず証明書を発行させていた」ということです。 

これは最悪ですね。

 

Digicert社に事業ごと売っぱらう選択をした

 

Googleからの指摘に対してSymantec社も反論とかしてました。 

でも、どう考えてもSymantec社の方に非があるあるのは誤魔化せません。 

この辺、のらりくらりと「記憶にありません」なんて言ってれば、時間切れでどうにかなるだろうなんて、どこぞの国の政治家や官僚のような手は通じません。 

結局、Symantec社は、これらのセキュリティ事業をDigicert社に売っぱらうという対策をとりました。

www.websecurity.symantec.com

 

Degicert社では、そのへんの管理をきちんとするということで、GoogleもDegicert社が発行する証明書は正当なものとして認めるということになりました。 

それをうけて、Symantecから証明書の発行を受けていたユーザに対して、証明書の再発行と再インストール手続きをするように、Symantecから案内がでています。

knowledge.symantec.com

 

ということなので、「 Symantec認証局Symantec が所有する Thawte、VeriSign、Equifax、GeoTrust、RapidSSL などのブランドも含む)への信頼が無効化される」ことで警告がでるのは、上記の移行措置のできない「不適切な証明書」か、なんらかの理由で移行措置をしなかったところだけみたいです。 

なるほどね。 

Symantecは結構大手の認証局でした。 

その証明書を使っているところも多いですから、いきなり警告がでまくるようになったら嫌だなと思いましたが、大丈夫そうですね。