グーグル、シマンテックのセキュアHTTPS証明書、またはそれ以外の場合

所有者が発見され、無料のウェブホストから漏洩した1300万の平文パスワードが明らかになった。 guteksk7 / Shutterstock Googleはシマンテックの最終通告を定めました—セキュリティ証明書の発行について完全に透明にしてください。そうしないと、シマンテックの証明書を使用するサイトはGoogle Chromeによって安全ではないと見なされます。

9月、シマンテックは、ドメイン名の不正なTSL証明書を所有していない企業に発行したことで多数の従業員を解雇したことを報告で明らかにしました。

これは、Googleのものを含め、HTTPSで保護されたWebサイトを模倣するために使用できた可能性があることを意味しました。サイバー犯罪者は証明書を使用して、評判の高いサイトになりすまし、検出されない可能性があります。

当初、シマンテックは23の証明書が発行されたと述べましたが、Googleはこれよりもはるかに高いと述べ、この数に異議を唱えています。さらなる調査の結果、シマンテックは、76のドメインにさらに164の証明書があり、まだ登録されていないドメインに2,458の証明書があると述べました。

GoogleのRyan Sleeviはブログの投稿で、発行された証明書の数が概算されていない理由を理解するために、Symantecの調査の詳細を公表し、透明にするよう求めました。これには、会社がこれが再発しないようにする方法とその方法についての詳細な情報が含まれます。

Sleeviはまた、2016年6月1日現在、すべてのSSL証明書が公開監査ログであるCertificate Transparencyに従って発行されるようにすることをシマンテックに要求しました。

「この日付以降、Chromium証明書の透明性ポリシーに準拠していないシマンテックが新たに発行した証明書は、Google製品で使用すると、インタースティシャルまたはその他の問題が発生する可能性があります」とSleevi氏は述べています。

シマンテックおよび場合によっては他の証明書発行者がこれらのガイドラインに従わない場合、SSL証明書が安全でない、または安全でないというフラグが付けられ、Chromeを介してサイトにアクセスしようとするユーザーに不正なメッセージが送信されるリスクがあります。

シマンテックは、この問題はテストエラーが原因であると述べています。それは問題の証明書を取り消してブラックリストに載せたと述べて、どんなユーザーまたは組織にも引き起こされた害はなかったと言いました。

「この種のテストが将来発生しないようにするために、すでに追加のツール、ポリシー、プロセスの保護手段を導入しており、すべての証明書の証明書の透明性ログを開始する計画を発表しています」と声明は述べた。「年次監査の範囲を拡大することに加えて、私たちは独立した第三者に私たちのアプローチを評価するよう依頼しました。」