アカウント名:
パスワード:
比喩なので感じ方は人それぞれだし、Googleのやり方に疑問を感じることも多いけど、今回の件に限れば「毒牙」という表現には違和感を感じた。最初にやらかしたのはSymantecでしょ、これ。厳しい措置だとは思うけどね。
タレコミ文は恨み節も混じってずいぶんネチネチした感じですね。利害関係にある者がこうやって印象を盛りにいくのは仕方ないかと。
念のために辞書も引いたけど、やはりネガティブな用法しかないわな。悪の毒牙にかかる、とか。
かなり穿って見ると「毒をもって毒を制す」という解釈もできますね。
数年前から黒っぽい話が出ていたのに信頼おけない認証局を選ぶから・・・>タレコミRapidSSL使うくらいなら、Let's Encryptで良くないですかね
???「もう売ったので、DigiCert社に聞いてください」
これだけ猶予あって何もしてない、困惑だけしてる、逆恨みも良いところですね。
対策済みの証明書発行(更新・再発行でも可)は去年の2017年12月から開始して警告が出るのは早いもので2018年3月半ば予定、遅いもので2018年9月予定なので対策をとれるスケジュールとしては十分かと思います。一つ納得いかないのが証明書を販売している業者のみがアナウンスしており、デジサート(シマンテック)からの公式なニュースリリースはなくサポートの片隅にある2017/08/08に出されたナレッジベースだけで、しかもそれから更新もされていないというのが…
この件、Googleは直接の被害者だったわけで。
自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? [livedoor.jp]
大手セキュリティベンダーのSymantecの子会社で低価な証明書の発行サービスをやっている Thawteが、2015年9月14日にgoogle.com、www.google.com用のEV SSL証明書を、Googleに了解なく 不正に発行していたことが、証明書の公開監査記録(Certificate Transparency)によりわかった。
実害がなかったとしても、そりゃ怒りますわな。加えて、後から他にもボロボロ出てきて「不正発行は少なくとも3万件」とかいう体たらく。むしろ、2年以上猶予を与えたGoogleは寛容なんじゃないの?
迷惑を被るのは利用者というのは本件に限らずよく聞きますが、今回の件は放置しておけば証明書がもたらす安全性を損ないます。どちらにしろSymantecがやらかした時点で迷惑は避けられないんですよ。
今の証明書インフラの仕組みを考えると、時期の違いはあれども証明書無効化以外の対処はないと思います。より良い方法があるのであれば提案してあげると喜ばれると思いますよ(嫌味ではなく本気です)。
利用者を人質にして脅したSymantecとそれに屈しなかったGoogleですね、わかります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
毒牙ですか (スコア:1)
比喩なので感じ方は人それぞれだし、Googleのやり方に疑問を感じることも多いけど、今回の件に限れば「毒牙」という表現には違和感を感じた。
最初にやらかしたのはSymantecでしょ、これ。
厳しい措置だとは思うけどね。
Re: (スコア:0)
タレコミ文は恨み節も混じってずいぶんネチネチした感じですね。
利害関係にある者がこうやって印象を盛りにいくのは仕方ないかと。
Re: (スコア:0)
念のために辞書も引いたけど、やはりネガティブな用法しかないわな。
悪の毒牙にかかる、とか。
Re:毒牙ですか (スコア:2)
かなり穿って見ると「毒をもって毒を制す」という解釈もできますね。
Re: (スコア:0)
数年前から黒っぽい話が出ていたのに信頼おけない認証局を選ぶから・・・>タレコミ
RapidSSL使うくらいなら、Let's Encryptで良くないですかね
???「もう売ったので、DigiCert社に聞いてください」
Re: (スコア:0)
これだけ猶予あって何もしてない、困惑だけしてる、逆恨みも良いところですね。
Re: (スコア:0)
対策済みの証明書発行(更新・再発行でも可)は去年の2017年12月から開始して警告が出るのは早いもので2018年3月半ば予定、遅いもので2018年9月予定なので対策をとれるスケジュールとしては十分かと思います。
一つ納得いかないのが証明書を販売している業者のみがアナウンスしており、デジサート(シマンテック)からの公式なニュースリリースはなくサポートの片隅にある2017/08/08に出されたナレッジベースだけで、しかもそれから更新もされていないというのが…
Re:毒牙ですか (スコア:3, 参考になる)
この件、Googleは直接の被害者だったわけで。
自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? [livedoor.jp]
実害がなかったとしても、そりゃ怒りますわな。
加えて、後から他にもボロボロ出てきて「不正発行は少なくとも3万件」とかいう体たらく。
むしろ、2年以上猶予を与えたGoogleは寛容なんじゃないの?
Re:毒牙ですか (スコア:1)
迷惑を被るのは利用者というのは本件に限らずよく聞きますが、今回の件は放置しておけば証明書がもたらす安全性を損ないます。
どちらにしろSymantecがやらかした時点で迷惑は避けられないんですよ。
今の証明書インフラの仕組みを考えると、時期の違いはあれども証明書無効化以外の対処はないと思います。
より良い方法があるのであれば提案してあげると喜ばれると思いますよ(嫌味ではなく本気です)。
Re: (スコア:0)
利用者を人質にして脅したSymantecとそれに屈しなかったGoogleですね、わかります。