ニュース
Symantec発行のSSL/TLS証明書、Google Chromeで段階的な期限短縮案
2017年3月27日 15:25
GoogleのエンジニアであるRyan Sleevi氏は、blink-devメーリングリストへの投稿で、米Symantecと傘下の認証局から新規に発行されるSSL/TLS証明書について、有効期限を段階的に短縮し、Chrome 64で279日以内の証明書しか受け入れないようにするとの提案を行った。
Sleevi氏の投稿によれば、Symantecが発行する証明書は、2015年1月時点で全体の30%を占め、ただちに証明書を失効させることはリスクが大きいため、開発版の提供が開始されているChrome 59で33カ月(1023日)へ有効期間を縮小、Chromeのメジャーアップデートごとに6カ月ずつ段階的に縮小し、Chrome 62では15カ月、Chrome 63の開発版とベータ版では9カ月(279日)にすることと、Symantecが発行したEV(Extended Validation) SSL証明書のEVステータスを無効化する提案を行っている。
Google Chromeチームでは1月19日より、Symantec発行の証明書に関する調査を実施。Symantecの当初の説明は、不正に発行された証明書は127件だったが、その後、数年間に発行された3万件に拡大したとしている。
Symantecの子会社であるThawteでは2015年9月、google.com/www.google.comのEV SSL証明書発行に関し、テストプロセスにおいてGoogleの承認を経ずに不正に発行していたことが、証明書監査記録であるCertificate Transparencyより発覚。その後Symantecでは、改善を行うことを表明していた。
Sleevi氏によれば、その後も証明書発行プロセスの改善が徹底されておらず、こうした証明機関の信頼の低下は、HTTPSのセキュリティを損うものとしている。この提案について「Google Chromeユーザーへの影響を最小限にするため」のもので、Symantecが発行したすべての証明書に関して、再検証が行われ、交換されることが必要としている。また、EVステータスを無効化する期限について、Symantecの信頼が回復するまでとし、それは少なくとも1年以上の時間を要するとしている。
米Symantecが3万枚の証明書を不適切に発行したとするGoogleの主張について、Symantecは公式ブログで、「不適切に発行されたのは127枚の証明書だけ、これによる被害は消費者には及んでいない」と述べた上、「我々は業界標準に従って認証局を運営しており、Googleのステートメントは誇張されており、誤解を助長するもの」としている。