シマンテックのCA事業売却に伴ってChromeでのシマンテック証明書の無効化スケジュールをGoogleが発表


Symantec(シマンテック)傘下の認証局(CA)が発行する証明書に信頼性の低いものが含まれているとして、GoogleはブラウザChromeでシマンテックの認証局が発行する証明書を段階的に失効させる計画を明らかにしています。そのシマンテックがCA事業を売却することになったのに伴って、Googleがあらためてシマンテック証明書の取り扱いをSecurity Blogでまとめています。

Google Online Security Blog: Chrome’s Plan to Distrust Symantec Certificates
https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html

GoogleやMozillaなどのブラウザ開発企業は、「シマンテックのPKI事業では業界標準であるCA/Browser Forum Baseline Requirementsに準拠しない証明書を多数発行している」として、シマンテックCAの発行する証明書の多くを正当な証明書として認めない方針であることを明らかにしていました。シマンテックのPKI事業はThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどのブランド名で認証局を運営しており、認証局としては30%以上のシェアを持つ大手です。

シマンテックが運営するCAの高いシェアを鑑みて、GoogleはChromeでのシマンテックCA発行の証明書を将来的に無効にすることを明らかにすると共に、事前にスケジュールを明らかにしていました。そのシマンテックがPKI事業をDigiCertに売却することになったため、GoogleはあらためてシマンテックCAが発行する証明書のChromeでの取り扱いが以下の通りであることを表明しています。


◆おそくとも2017年12月1日以降
シマンテックCAは2017年12月1日までにDigiCertのシステムに移管される予定ですが、移行が済んでからは旧シマンテックCAから発行された証明書はChromeでは信頼されないものとして扱われます。具体的にはChromeでは該当ページに警告やエラーが表示されることになります。

◆2018年3月15日以降
バージョン66以降のChromeでは、2016年6月1日以前にシマンテックCAによって発行された証明書が無効化されます。このため、2016年6月1日以前にシマンテックCAから発行された証明書を利用するサイト運営者は、Chrome 66のリリース前に信頼できる認証局の発行する証明書に置き換える必要があります。なお、Chrome 66は2018年3月15日にベータ版が、2018年4月17日に安定版がリリースされる予定です。

◆2018年9月13日以降
2018年9月13日にベータ版が、2018年10月23日に安定版がリリースされる予定のChrome 70では、シマンテックCAが発行したすべての証明書は信頼できないものとして取り扱われます。

・関連記事
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明 - GIGAZINE

中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針 - GIGAZINE

SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明 - GIGAZINE

GoogleやMozillaが中国の認証局が発行する証明書を「信頼できないもの」として失効させる - GIGAZINE

無料で証明書を発行してHTTPSの導入をサポートする「Let’s Encrypt」がベータ版から正式版に - GIGAZINE

143

in ソフトウェア,  セキュリティ, Posted by logv_to