更新されたGoogle の Chrome 開発チームは、Symantec の証明書発行慣行に対する痛烈な批判を掲載し、同社の慣行と、Symantec 発行の証明書によって保護されることが期待されるセッションの安全性に対する信頼を失ったと述べています。
Googleの投稿には、「1月19日以降、Google Chromeチームは、シマンテック社による証明書の適切な検証における一連の不備について調査を行ってきました。調査の過程で、シマンテック社からの説明により、Google Chromeチームのメンバーからの質問ごとに、誤発行の範囲が拡大していることが明らかになりました。当初127件とされていた証明書は、数年にわたる期間に発行された少なくとも3万件の証明書にまで拡大しました。」と記載されています。
Google 社の Ryan Sleevi 氏は、Symantec を次のように批判している。
シマンテックは、少なくとも 4 つの当事者が証明書の発行を引き起こす方法で自社のインフラストラクチャにアクセスすることを許可し、要求され期待されたこれらの機能を十分に監視せず、これらの組織が適切な注意基準を順守しなかった証拠が提示されたときに、そのような情報をタイムリーに開示せず、報告された問題の重要性を特定しませんでした。これらの問題とそれに伴う適切な監視の不備は数年にわたって発生しており、公開されている情報やシマンテックが共有した情報から簡単に特定できました。
シマンテックにとって、この投稿はさらに悪い。
これらの問題の完全な開示には1か月以上かかりました。シマンテックは、これらの問題に関する最新情報をコミュニティにタイムリーに提供してきませんでした。シマンテックはこれらの問題を認識していたにもかかわらず、繰り返し積極的に開示してきませんでした。さらに、問題が公表された後も、シマンテックは、コミュニティがこれらの問題の重要性を評価するために必要な情報を、具体的な質問がなされるまで提供してきませんでした。シマンテックが提案した改善策は、既知の問題情報に頼ったり、ベースライン要件で要求され、ChromeルートCAポリシーで期待されるレベルの保証を提供するには不十分な手法を採用したりしていました。
結局のところ、Googleは「過去数年間にわたるシマンテックの証明書発行ポリシーと実践にもはや信頼を置くことができない」と感じており、そのため3つの救済策を提案している。
- 今後発生する可能性のある誤発行による Google Chrome ユーザーへの影響を最小限に抑えるため、新たに発行されるシマンテック発行の証明書の有効期間を 9 か月以下に短縮します。
- 一連の Google Chrome リリースにわたって、現在信頼されているすべての Symantec 発行の証明書に対する信頼が段階的に低下し、証明書の再検証と置き換えが必要になります。
- シマンテックが発行した証明書の Extended Validation ステータスの認識を、コミュニティがシマンテックのポリシーと実践を確信できるまで削除します (ただし、1 年未満)。
Extended Validation(EV)とはどういう意味でしょうか?これは、ブラウザがアドレスバーの緑色の南京錠アイコンの横に、HTTPSで保護されたウェブサイトの所有者を明確に表示できるようにする小さな機能です。Google Chromeは、Symantecが発行したSSL/TLS証明書について、この文字列を表示しなくなります。つまり、SymantecにEV(EV)証明書を支払ったウェブサイトでは、Chromeでこの機能が表示されなくなります。
拡張検証文字列のない通常の証明書
ブラウザに表示されるExtended Validationテキスト付きの証明書
「有効期間の短縮」とは、Chromeの様々なバージョンにおいて、下記に記載されている期間よりも古いSymantec発行の証明書の信頼が停止されることを意味します。Symantec発行の証明書の有効期間が過ぎると、Chromeは証明書の信頼を停止し、証明書の所有者は証明書の更新を強制されます。
| Chromeバージョン | 証明書の有効期間 |
|---|---|
| Chrome 59 (開発版、ベータ版、安定版) | 33か月(1023日) |
| Chrome 60 (開発版、ベータ版、安定版) | 27か月(837日) |
| Chrome 61 (開発版、ベータ版、安定版) | 21か月(651日) |
| Chrome 62 (開発版、ベータ版、安定版) | 15か月(465日) |
| Chrome 63 (開発版、ベータ版) | 9か月(279日) |
| Chrome 63(安定版) | 15か月(465日) |
| Chrome 64 (開発版、ベータ版、安定版) | 9か月(279日) |
「Google Chrome 61より、新たに発行されるすべての証明書は、Google Chromeで信頼されるためには、その有効期間が9か月(279日)以内であることを要求することを提案します」と検索大手は付け加えた。
「これにより、さらなる誤発行のリスクは最大でも 9 か月に制限され、さらに重要なことは、さらなる措置が必要になったり正当化されたりした場合には、その期間内にエコシステム全体を移行できるため、さらなる互換性問題のリスクが最小限に抑えられることです。」
Google は、この計画により、「Web 開発者は、今後さらに誤発行が発生した場合にシマンテックが発行した証明書が信用されなくなるリスクと可能性を認識すると同時に、必要に応じてそのような証明書を引き続き使用できる柔軟性も得られる」ことになると予測しています。
もちろん、開発者には、最も満足のいく発行元から新しい証明書を取得する時間も与えられます。シマンテックはThe Registerに対し、Googleの申し立てに対する回答を作成中であると回答しました。回答が得られ次第、この記事に追加します。®
追加更新
シマンテックはグーグルの主張は「誇張されており誤解を招く」と反論した。
「GoogleがChromeブラウザのSymantec SSL/TLS証明書を標的とした措置に強く反対します」とSymantecはブログ投稿で述べた。
この措置は予期せぬものであり、ブログ投稿は無責任であったと考えています。インターネットコミュニティにおいて、当社のSSL/TLS証明書に関する不確実性や疑念を抱かせることを意図したものではなかったことを願います。
シマンテックは、127件の証明書を誤って発行したことは事実だが、3万件という数字は「事実ではない」とし、消費者への被害はなかったと述べた。同社は「業界標準に従って」事業を運営しており、その評判を守るとしている。シマンテックは現在、Googleと問題解決に向けて協議を行っている。
