ニュース
» 2015年10月30日 08時45分 UPDATE

Symantecの証明書発行に不手際、Googleが対応を要求

Symantecが要求に応じなければ、Google製品でSymantecの証明書が安全とみなされなくなる可能性もあると警告している。

[鈴木聖子,ITmedia]

 米Symantecの認証局が手違いにより、「google.com」などのドメイン向けのテスト証明書をドメイン所有者が知らないうちに発行していたことが分かり、米Googleは10月28日、同社に対して対応を要求した。Symantecの対応次第では、Google製品でSymantecの証明書が安全とみなされなくなる可能性もあると警告している。

photo この問題について書かれたGoogleのブログ

 Symantecが10月2日に発表したインシデント報告書で、GoogleやOperaなど5組織向けのテスト証明書23件がドメイン所有者の知らないうちに発行されていたと報告した。これに対してGoogleは、不審な証明書はそれ以外にも存在すると指摘。その後、Symantecは10月12日に出した更新版の報告書で、さらに76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件が見つかったと発表した。

 GoogleはこうしたSymantecの対応について、「認証局がこれほど問題を長引かせ、警告を受けて監査を実施した後も影響の及ぶ範囲を把握できないのは懸念すべき状況だ」と批判。Symantecが発行する全証明書に対し、2016年6月1日を期限として、不正な証明書の早期発見の仕組みである「Certificate Transparency」のサポートを義務付けるとした。

 この期限以降、Symantecが新規に発行した証明書でCertificate Transparencyポリシーに準拠していないものは、Webブラウザ「Chrome」などのGoogle製品で、安全とみなされないなどの問題が生じる可能性があると通告している。

photo Certificate Transparencyの基本的な仕組み(出典:シマンテック)

 Symantecに対しては、問題のある証明書を検出できなかった理由と、サーバ証明書発行に関する基本要件やEVガイドラインを守れなかった経緯について詳しい説明を要求。さらに、それぞれの問題に対する再発防止策と、その対策を講じる期限についてもGoogleに説明するよう求め、「追加情報を入手した場合はさらなる対応を取る可能性もある」と警告した。

関連キーワード

Symantec(シマンテック) | Google


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ