Google、シマンテックがSSL/TLS証明書を誤発行したと認定

2017年3月27日

ニュースソース:HELPNETSECURITY

以下は 2017年3月24日に公開されたGoogle to sanction Symantec for misissuing security certificates を要約したものです。


Google ChromeチームのソフトウェアエンジニアRyan Sleeviは、開発者向けのフォーラムに「シマンテックが発行した既存の証明書すべてを徐々に信頼できないものとする」そして「それらを、現在のベースライン要件に準拠し、完全に再検証されて再発行された証明書に切り替えることを要請する」と投稿しました。

ルート証明機関は、その証明書に付与された信頼に見合う多くの重要な検証を実行することが求められています。
Ryan Sleeviの投稿によると、「シマンテックでは、少なくとも4者が証明書を発行するインフラストラクチャへのアクセスを許可されているが、権限の検証が不十分で、誤った行動が行われたという証拠が提示されたときにも、適切な情報開示が行われなかった。」とのことです。
Google Chromeチームは、シマンテックが過去2ヶ月間、証明書を正しく検証できなかったことを調査で確認しており、少なくとも 30,000件の証明書が誤発行されていると結論づけています。

これによりGoogle Chromeは、一連のリリースでシマンテックが発行した証明書の「最大有効期間」を、Chrome64での9ヶ月に達するまで徐々に短縮する予定です(現在のバージョンのブラウザは57)。
すなわち、証明書が期限切れとして扱われる可能性があります。
また、シマンテックとシマンテック配下の認証局が発行したEV証明書では、シマンテックがこの問題を再発させないことが確認されるまで、EV証明書のメリットである「緑色のアドレスバーへのドメイン名を所有する企業名の表示」は行われなくなります。

本件についてのシマンテックの対応は現時点で未発表です。