いつものように、あなたはキャットに絞る必要があります:インフラストラクチャの運用の問題 、レポートの準備の不備、 および必要なチェックなしでレベルEV(拡張検証)の証明書の発行につながった悪用のため、 GoogleとMozillaは現在、信頼の喪失のプロセスを計画していますシマンテック証明書へ 。
シマンテックは、2017年12月1日に新しい証明書発行プロセスを開始することに同意しました。このプロセスでは、会社は独自のルート証明書を持たず、外部制御下で動作するSubCA(下位認証局)として機能する別の認証局のエージェントとして機能します(管理CA) 。 2017年12月1日以降に発行されたシマンテック証明書はブロックの対象にならず、明らかに機能し続けるようです。
2010年、シマンテックはVeriSignの認証事業を12億8,000万ドルで買収し、最大の認証機関の1つになりました(世界のすべての証明書の14%を占める)。 ただし、このような規模(およびこれに関連する自社のインフラストラクチャとプロセスへの注目の高まり)でさえ、会社がビジネスを正しく行うことができなかったため、最終的にブラウザーメーカーからの複数のクレームに至りました。
特に、EV証明書の発行に伴う状況は非常に深刻であることが判明しました。 ご存知のように、Extended Validation(EV)レベルの証明書は、所有者の識別パラメーターを主張していることを確認し、ルールに従ってそれらを取得するには、ドメイン所有者のドキュメントとリソース所有者の物理的な存在を確認する必要があります。 シマンテックの場合、そのような検証は適切に実行されませんでした。 所有者の権限が常に検証されているという保証はありません。 2017年の春に、Googleは、シマンテックが証明書を発行する権限を付与された少なくとも4つのサードパーティ組織に認証センターのインフラストラクチャへのアクセスを提供したという事実に注目しました。 同時に、シマンテックはそれらに対する適切なレベルの監督を提供せず、確立されたサービス基準への違反を認めました。
問い合わせへの回答として、シマンテックは利用可能なインシデントの時間内の内訳をレポートに提供することもできませんでした。 特に、セキュリティ研究者は、2017年1月に、Symantec認証局によって108個の誤って発行された証明書が生成されたことを明らかにしました。 以前は、シマンテックはすでに他人のドメインへの見知らぬ人への証明書の発行を含むスキャンダルに関与しており、特に2015年の秋に、ドメインのテスト証明書の発行で有罪判決を受けた数人の従業員が解雇されました(ページのアーカイブコピーへのリンク ) google.com 、 gmail.comおよびgstatic.comドメイン )、ドメイン所有者の同意なし-したがって、Googleが不必要な誠意なしに状況に反応したことは驚くことではありません。
シマンテック証明書への信頼の喪失の影響を軽減し、ユーザーに証明書を更新する時間を与えるために、Chrome開発者は妥協し、プロセスを段階的に進めることに同意しました。シマンテックは組織プロセスを再構築し、インフラストラクチャの問題を修正し、新しいルート証明書にアップグレードする機会を与えました。
信頼の終了の第1フェーズは、 Chrome 66のリリースを予定しています。Chrome66は、2018年4月17日にリリースされる予定です。 この時点で、2016年6月1日より前に発行されたシマンテック証明書の信頼は失われます。 Mozillaは、2017年12月1日から始まるブロッキングの第1段階の適用の提案について議論していることに注意してください。 4か月前ですが、2018年4月に近い日付が最終的に承認されます。 また、Googleは10月と12月のChrome 62と63でのブロックを検討しましたが、業界の要望を考慮して、Chrome 66までロックを延期しました。
Chrome 70では、シマンテック証明書のサポートが完全に停止される予定です(2018年10月23日予定)。 Mozillaは、Firefox 63(2018年10月16日)または64(2018年11月27日)でSymantec証明書の信頼を完全に停止する予定です。 問題を回避するために、シマンテックの証明書を持つサイトは、証明書の更新を遅らせないことをお勧めします。 信頼の喪失は、信頼のチェーンによってシマンテックのルート証明書と接続された認証局GeoTrust、Thawte、RapidSSLの証明書にも影響します。
将来的には、シマンテックはインフラストラクチャの完全な再構築を同時に実施できるようになり、証明書を発行する権限が委任されている下位組織およびパートナーとの現在の相互作用の弱点を排除します。 シマンテックは、証明書発行ビジネスを売却する可能性も排除していません。
そのため、長年にわたってセキュリティのアイデアを販売してきた企業は、提案されたソリューションに関連するスキャンダルや問題の中心にはありません。
シマンテックまたは関連会社のいずれかから証明書を購入した場合はどうなりますか? CAで証明書の定期的な再発行を実行します。 直接注文する場合、これはCAのWebサイトで行われます。パートナーから注文する場合は、パートナーのWebサイトまたは中央のproducts.websecurity.symantec.comで再リリースできます。