Google が Symantec のセキュリティ証明書を拒否

さまざまな調査によると情報筋によると、Google と Symantec は、インターネットの暗号化という巨大なタスクを誰が主導するかをめぐって争っています。シマンテックは、特定のドメインとそのユーザーにとってサイバー リスクとセキュリティ リスクとなる、一部の企業に対して拡張検証証明書を提供しています。したがって、Google は、これらの証明書はすべて悪用されており、信頼性が低下すると主張しています。

こちらもお読みください:Google Home – 家事と買い物のやり方を変える

Symantec は世界最大の CA であり、その認定は 2014 年から 2015 年にかけて Web の約 30% を占めています。 Google は、Symantec がその義務を怠っていると主張しています。シマンテックは、30,000 の証明書を、証明書を収集した Web サイトで正しく検証せずに発行しました。しかし、Symantec は、Google を「無責任で、誇張され、誤解を招く」と呼んで批判しています。

「1 月 19 日以来、Google Chrome チームは、シマンテック コーポレーションが証明書を適切に検証できないという一連の失敗を調査してきました。この調査の過程で、シマンテックが提供した説明により、Google Chrome チームのメンバーからの一連の質問ごとに、誤発行の範囲が拡大し続けていることが明らかになりました。伝えられるところによると 127 の証明書の最初のセットは、数年にわたる期間にわたって発行された少なくとも 30,000 の証明書を含むように拡張されました。」

こちらもお読みください:Google Play ストア エラー 491 および 495 を修正する方法

Google ソフトウェア エンジニアの Ryan Sleevi は、Symantec に対する訴訟について投稿しました。彼は、「これは、シマンテックからの以前の一連の証明書の誤った発行に続く一連の失敗とも相まって、過去数年間のシマンテックの証明書発行ポリシーと慣行にもはや信頼を置いていません。」

「シマンテックは、証明書を発行する方法で少なくとも 4 つの関係者に自社のインフラストラクチャへのアクセスを許可しましたが、これらの機能を必要かつ期待どおりに十分に監視していませんでした。これらの証拠が提示された場合でも、組織が適切なケア基準を順守しなかったこと、そのような情報をタイムリーに開示しなかったこと、または組織に報告された問題の重要性を特定しなかったことです。」

「これらの問題と、それに対応する適切な監視の失敗は、数年間にわたって発生し、公開されている情報やシマンテックが共有した情報から簡単に特定できました」.

また読む:Google が「Android O」デベロッパー プレビューをリリース

シマンテックが行ったことについては、多くの議論がありました。シマンテックは、証明書を提供する前に Web サイトを適切にフィルタリングしませんでした。これは、検証を受けたほとんどの Web サイトがユーザーにとって安全ではない可能性があることを示しています。 Google と Symantec の戦いは続くようです。したがって、シマンテックは、「状況を解決するために、Google とこの問題について話し合う用意がある」と述べています。 Symantec を使用して HTTPS 接続を実証している Web サイトの所有者は、Chrome ユーザーがセキュリティ警告やポップアップを受け取ることなく Web サイトにアクセスできることを確認するために何かを行う必要があります。

Symantec と同様に、誤って発行された証明書を使用して 4 つの異なる組織と結合しているため、今後 Chrome は新しい Symantec 証明書を信頼する可能性があります。所有者は、古いドキュメントを新しいドキュメントと交換するだけです。