Chrome、段階的にシマンテックのEV証明書を制限

security

Google、3万件の不適切なHTTPS証明書発行によりSymantecに懲罰」

arstechnica.com

Google Chrome、3万の不適切なEV証明書の発行でSymantecSSLを信用外扱いへ」

thehackernews.com

両記事のタイトルでわかる通り、Symantec(および子会社)によるTLS EV証明書について、Chromeチームは段階的に信用しない扱いとすることを発表しました。

  • [実施中]Symantec関連の証明書の扱いのダウングレードで、EV証明書としては扱われなくなりました。具体的には、アドレスバーへの認証済みドメイン名所有者の表示がなくなります。期間は1年間以上。
  • [Chrome61以降]新規のSymantec関連証明書は信頼扱いまでに最大9ヶ月の保留期間がかかるようになります。
  • [Chrome59以降]Symantec関連の証明書を信頼する期間を段階的に縮小します。Chrome59の33ヶ月から次第に減り、Chrome64で9ヶ月となります。

Chromeチームは、今年1月19日からSymantecによる証明書の発行ポリシーおよび慣習について調査を開始し、結果として信用できないという結論に達しました。当初の調査対象は100件強でしたが、途中で次々と増大し、最終的に3万件もの問題があると判明したとのこと。

実際には、Symantecの証明書にまつわる問題は1年半前からありました。2015年10月、Symantecは本来のドメイン保有者の承認なしにサードパーティへの証明書を発行したとして従業員を解雇しています。また、かつて「google.com」ドメインを無関係な他人(セキュリティ研究者)が取得できてしまった(善意に基づいてGoogleに通報し解決)ことさえありました。

今回の措置が、ある程度の期間をおいたものになっているのは、Symantec(および子会社)による証明書のシェアが非常に高いことにあります。2015年の有効証明書内シェアが30%、FireFoxの集めているデータでは42%ものシェアがあるとのこと。

なお、Symantec側はブログ記事で反論しています。