×
セキュリティ

信頼性の低いシマンテック立証明書の置き換えが予想以下にのろいとMozillaが嘆き

by Caspar Rubin

シマンテック傘下の認証局(CA)が発行行う立証明書には信頼性の低いものが含まれていり付けるでもって、Googleはウェブブラウザの「Google Chrome」ではシマンテック傘下のCAが発行した立証明書をステップ的に失効さすプランであることを公表しました。Googleと同様ように、Mozillaが開発行うFirefoxさえシマンテックが発行したTLS立証明書をステップ的に無効化していくのにのプランが練られていり付けるのですが、失効してしまった立証明書をそのままにしてしまっていり付ける大手ウェブサイトも複数いり付けるとのことで、Mozillaが警告しています。

Delaying Further Symantec TLS Certificate Distrust | Mozilla Security Blog
https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/


2018年8月13日、Firefoxの開発者向けバージョンのひとつである「Firefox Nightly」で、シマンテックの立証明書を無効化行うのにのステップ的な措置がひとつ進みました。その上より、シマンテック傘下のCAであるGeoTrust?RapidSSL?Thawteといった公企業が発行したTLS立証明書は、一部を除きFirefox Nightly上では無効なものと身なりました。

しかし、大半の人気サイトがいまだにシマンテック傘下のCAが発行した立証明書を利用していり付けることが指摘されており、最新のデータによると、世界さえアクセス数のたくさんウェブサイトトップ100万のうち、1%は依然でもって無効化さエるとアナウンスされたシマンテックのTLS立証明書を利用しまれまであることがはっきりになっています。

以下の画像はアクセス数のたくさんウェブサイトトップ100万(赤)?トップ1万(緑)?トップ1000(黄)?トップ100(青)ごとに、失効予定のシマンテック立証明書を利用しまれまのウェブサイトの割りを示したグラフ。横線が時分、縦線が%を示しており、2018年10月時点さえトップ100万およびトップ1万の1%がシマンテック立証明書を利用しまれまであることがわかります。


シマンテックの立証明書を無効化行うことが通知されてにある度合いの時が経過した時点さえ、立証明書を改定しぬウェブサイトがたくさんことに、Firefox 63 Nightlyと同様ように別バージョンのFirefoxさえシマンテック立証明書を無効化してしまうと大半のユーザーに影響を授ける局面となってしまうとのこと。

シマンテックのPKI事業を買収したDigiCertはただで無効化がアナウンスされていり付ける古臭い立証明書を引き換える行うとアナウンスしていますが、いいまだにに大半のウェブサイト経営者が立証明書を更新しておらず、「それは非常に残念なこと」とMozillaは嘆いています。

Mozillaはシマンテックの立証明書を無効化行うスケジュールが遅エることとなれば別のリスクが高まるとしつつ、現在の状況を考えればより大半のユーザーがシマンテックのTLS立証明書を改定行うまでは無効化スケジュールを日延べ行うことが最適であるとし、2018年後半まで改定のリリースを日延べ行うでもっています。ただし、2018年10月中旬のリリースが予定されていり付けるFirefox 64 Betaではシマンテックの立証明書が無効化さエる予定です。

?関連雑報
シマンテックのCA事業売却に伴ってChromeでのシマンテック立証明書の無効化スケジュールをGoogleが公表 - BLACKBCAS

Google Chrome 66座り版リリース、Symantecの認証局が2016年6月1日以前に発行した立証明書が無効に - BLACKBCAS

中国極大の認証局「WoSign」が立証明書発行日改竄などを行っていたでもってFirefoxがブロックの方針 - BLACKBCAS

SSL立証明書を発行行う公企業が立証明書を偽造行う粗悪なアドウェア「Privdog」を販売していたことが判明 - BLACKBCAS

Tweet

in ソフトウェア,   セキュリティ, Posted by logu_ii