大手認証局(CA)を傘下に持つSymantecが証明書発行の不手際を繰り返しているとして、GoogleはChromeブラウザでSymantecが発行した証明書の有効期間を短縮するなどの措置を提案した。
米GoogleのChromeチームは3月24日、Thawte、Verisign、Equifaxといった大手認証局(CA/Certification Authority)を傘下に持つSymantecが、電子証明書の発行に関して不手際を繰り返しているとして、ChromeブラウザでSymantecが発行した証明書の有効期間を短縮するなどの措置を提案した。Symantecの証明書はWebサイトで使われている証明書の30〜40%以上を占めるとも言われ、もし実施されれば大きな混乱を招きかねない。
Google Chromeチームがオンラインフォーラムに掲載した情報によると、同チームは1月19日以来、Symantecによる証明書検証の不手際について調査してきた。その結果、問題のある証明書は当初報告されていた127件から、3万件へと拡大したと主張。「Symantecは過去にも証明書の発行に不手際があったことから、この数年のSymantecの証明書発行ポリシーや慣行を信用することはもはやできなくなった」としている。
この判断に基づき、信頼を取り戻すための措置として、Symantec傘下のCAが発行した証明書のChromeブラウザでの扱いについて、次のような措置を提案した。
Chromeチームによると、Symantec発行の証明書は2015年1月現在で、有効な証明書の30%以上を占める。Mozilla Firefoxの統計では42%という数字もあるという。
このため直ちに失効させれば重大な互換性リスクが生じると判断し、そうした互換性リスクとセキュリティリスクのバランスを取って、Symantecが発行した全証明書を段階的に失効させて、再度の検証を行った新しい証明書に入れ替えさせることを提案したとGoogleは説明している。
これに対してSymantecは24日のブログで、Googleの提案について「予想外であり、あのブログの投稿は無責任」と批判した。3万件の証明書に不手際があったとするGoogleの主張についても「事実ではない」と反論。顧客や消費者に対しては「今後もSymantecのSSL/TLSは信頼できる」と強調し、Googleと話し合う姿勢を示している。
Copyright © ITmedia, Inc. All Rights Reserved.