Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦
2017年5月6日 09:11
Symantecおよびパートナー企業が発行したSSL/TLS証明書の信頼性回復に関する議論にMozillaも参加するようだ。MozillaのGervase Markham氏がSymantecに対する提案の素案を公表し、Googleグループで検討が進められている(素案、Googleグループ投稿、The Registerの記事)。 Symantecが運営する認証局の過去2~3年にわたる問題はMozillaでも認識しており、調査を進めていたという。問題は2015年に発生したテスト証明書数千件の誤発行をはじめ、パートナー企業での問題を把握せずに放置していた点などが挙げられており、SymantecがCA/Browser ForumのBaseline Requrementなど業界の指針やベストプラクティスに従わず、顧客の利便性を優先してきたなどと批判している。 Markham氏はSymantecの提案による監査強化などの対策について、適切に実施されるかどうか保証がなく、信頼性の回復につなげるのは難しいと述べるなど、提案の実効性について疑問を呈する。その一方で、Googleによる2番目の提案、Symantecが公開鍵基盤(PKI)を刷新して証明書の発行を適切に管理できるようにすることを支持している。 SymantecがPKI刷新を受け入れない場合、PKIヒエラルキーをすべて含み、傘下のCAを含め発行可能な証明書の種類などを記入した組織図の提供を求めている。一方、EV証明書のEVステータス無効化は不要であるとし、証明書の有効期限はGoogleが提案する最長9か月に対し、最長13か月にすると述べている。