Symantec、自社発行SSL/TLS証明書を信頼してもらう対策をGoogleに提案

headless 曰く、　Symantecおよびパートナーの登録局（RA）が発行したSSL/TLS証明書のGoogle Chromeでの扱いについて、有効期限短縮やEVステータスの無効化がChromiumプロジェクトで3月に提案されたことを受け、Symantecが対案を示している（Symantec Official Blog、Register）。

　この問題はSymantecやパートナーのRAが適切な確認を行わないまま証明書を大量に発行していたというもの。ChromiumプロジェクトのBlink開発チームの調査によれば、少なくとも3万件が数年にわたって不正発行されていたという。チームではSymantecの証明書発行ポリシーや業務を信頼できなくなったとして、ChromeでSymantecが発行した証明書の扱いを変更することを提案していた。

　これに対してSymantecでは、同社の発行した証明書が幅広く使われており、置き換えが容易でないこと、世界の電子商取引の80％以上が同社の証明書により保護されていること、同社が世界最大のOV/EV証明書プロバイダーであることなどを挙げ、証明書による通信の保護を中断することなくGoogleの懸念を解消するための対策を提案している。

　対策の内容としては、Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと、WebTrustによる定期的な審査を行い、報告書を公表すること、有効期限3か月のSSL/TLS証明書の幅広い提供を進め、有効期限9か月以上の証明書は9か月目に無料でドメインの再確認を実施すること、認証局としての運営を継続的に改善していくことなどを挙げている。

　スラドのコメントを読む | セキュリティセクション | ビジネス | Chrome | Google | セキュリティ | スラッシュバック | 暗号

　関連ストーリー：
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案される 2017年03月26日
Symantec、google.comなどのテスト証明書を手違いで無断発行 2015年11月03日
米Symantecがデジタル署名を付け忘れたファイルを配布、ユーザに大きな混乱呼ぶ 2009年03月12日