パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される」記事へのコメント

  • AndroidOS自体、標準ブラウザやChromeアプリは影響受けるのでしょうか?
    教えてえろい人

    • by Anonymous Coward
      AndroidにもCanaryあるから見てみれば?
      普通に考えれば有るでしょう。
      • by Anonymous Coward

        わかりにくい質問ですみません。
        AndroidOS自体もシマンテック系証明書を排除するのか気にしてます。
        標準ブラウザとChromeアプリは別物と認識してて、Chromeアプリだけ排除するのか、
        AndroidOSの定期セキュリティアップデートでOS自体もシマンテック証明書を排除するのか気にしてます。

        • by Anonymous Coward on 2018年02月08日 22時20分 (#3358447)

          そもそも排除しようとしているわけではないのです。
          ある期間に発行されたシマンテック系の証明書を信用しなくなるだけで、対策されている(としている)現在発行されるシマンテック系証明書は普通に使えます。

          親コメント
          • by Anonymous Coward

            GoogleはSymantecを排除する認識です。
            そのため、SymantecはSSL部門をDigiCertに売却しました。
            現在発行してるのはSymantecではなく、売却先のDigiCertです。

            https://www.websecurity.symantec.com/ja/jp/digicert-and-symantec-faq [symantec.com]
            https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1742 [sakura.ad.jp]

            • by Anonymous Coward

              それは、前後関係が全く異なりますよね?

              2017/7/28時点では下記の内容だったはずで、Symantecが新しいPKI作るって内容だったと思います。
              https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKw... [google.com]
              ・古いSymantecの証明書は段階的に排除。
              ・Symantecは近代化されたPKIを構築する。
              ・近代化されたPKIができるまでは3rd partyで証明書発行

              2017/8/2
              Symantecが証明書事業を DigiCertに売却することを発表

              2017/9/11
              Googleが7/28の内容を最終決定として、DigiCertに差し替えた対応を発表
              https://security.googleblo [googleblog.com]

              • by Anonymous Coward

                こちらでは、今回の騒動は
                Symantecグループが、ドメインの持ち主以外(第三者)に証明書を発行していたことが
                発端だと認識しています。
                そのため、Google(Chrome)はSymantecに夏までにどうするのか対処を求めて、Symantecは売却という結論に至ったと認識しました。

                >Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた

                https://security.srad.jp/story/17/03/26/064241/ [security.srad.jp]

              • by Anonymous Coward

                話をもとに戻して、何をもって排除という認識自体が食い違っている気がします。

                Googleがやったのは信頼できる発行方法を求めるとともに信頼できないとみなした証明書を信頼しない、というだけでSymantecを排除するとは読み取れないのですが・・・

                信頼できる環境を構築を自前で実施できなかった、もしくは実施するコストとメリットを比べてやるに至らなかったから身売りする、というのがGoogleがSymantecを排除した結果ということでしょうか?
                証明書に対する信頼を売り物にしていた企業に信頼を求めることが排除というのであれば、それはなかなか地獄絵図ですね。

              • by Anonymous Coward

                環境構築やコスト、メリットデメリットなどお話ではなく、
                「信頼を提供する」認証局が不正を働いていたことにより、
                この認証局は「信頼出来なくなった」という根本的なお話です。

                類似例だと、同じく不正発行を働いていた中国WoSign認証局はGoogle(Chrome)含め他のOSベンダーから
                昨年排除されました。
                同じことがSymantecでも起こり始めているというお話です。(←私の認識)

                そうなる前に認証部門をDigiCertへ売却しました。

              • by Anonymous Coward

                #3358608 ですが、概ね同様の認識です。
                下に経緯を全く無視した変なコメントがついていますが・・・

              • by Anonymous Coward

                環境構築やコスト、メリットデメリットなどお話ではなく、
                「信頼を提供する」認証局が不正を働いていたことにより、
                この認証局は「信頼出来なくなった」という根本的なお話です。

                類似例だと、同じく不正発行を働いていた中国WoSign認証局はGoogle(Chrome)含め他のOSベンダーから
                昨年排除されました。
                同じことがSymantecでも起こり始めているというお話です。(←私の認識)
                そうなる前に認証部門をDigiCertへ売却しました。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...