2017年09月29日

シマンテックのSSLサーバ証明書の信頼性とシマンテックの信頼性

GoogleがSymantecのSSL/TLS証明書を信用できないと提案した件、いよいよ本格的に動き出していて、各所のSSL証明書が無効化されてきているようです。

あまり証明書業界の話に詳しくなかったのでよく分かっていなかったのですが、Symantecがgoogle.com名義の証明書を127枚ほど不正に発行したとか、発行の手続きのルールがよろしくないとのことで、Symantecとその傘下の証明書を段階的に無効化していくことになったとか。

Symantecとその傘下で発行している証明書は世界中のけっこうなシェアを占めているようで、世界的にも混乱する出来事です。
Symantec社も最初は抗っていたものの、段階的な無効化に同意し、また、証明書の発行業務もDigiCertに引継ぎ、社員を大量に移行させ、さらにSymantecがDigiCertの株を大量に買うということで、落ち着いたとか。

業界内のきな臭い話と、大人同士の臭い話が色々と入り組んでいて気持ち悪いんですけどね。
INASOFTのサイトが置かれているさくらインターネットでも、証明書はSymantec傘下のものを使っているとのことで、証明書の本来の期限前でも証明書の再取得が必要になるとかで、多少の混乱はあるようです。

INASOFTでは、ダウンロードサイトとして、さくらインターネットの共有SSLを利用していますが、これも影響を受けるかはよくわかりません。
まぁ、共有SSLは、さくらインターネットの持ち物なので、僕がアレコレできる話でも無いんですけどね。

ここで気になるのが、Symantecの会社としての信頼性、セキュリティ企業としての信頼性はどうなるのか?という話。


僕自身は前々から、Symantecのファイルインサイト機能は信頼できないですねと言っていたり、Symantec社の幹部だったか誰だったかが、ウイルス対策ソフトはもう終わりだ的な発言をしてみたり、Symantec社自身の信頼性が低くなってきているなぁというのは感じて来てはいるところです。

誤検知関連で問い合わせても返事がもらえないってこともあって、僕の中ではSymantecの信頼は、(ある意味、トレンドマイクロ社以上に)地に落ちている感じなんですけどね。

証明書発行業務でもポカをやらかしているということで、セキュリティ企業Symantec社としての信頼性そのものも、地に落ちているのかなぁと思います。
まぁ、Symantec社は新しく証明書業務を担うDigiCertの株主になるなど、落としどころを探った上での経営的決断の後、証明書の失効に同意したそうなのですが、一連の流れ、一連のドタバタ、Symantec社の証明書を利用している企業の管理者の作業が増加したこととか、諸々考えると、Symantec社ってセキュリティ企業として信用できる企業と言えるのかどうか・・・が、まぁなんというか、アレですよね。


posted by ayacy at 04:38 | Comment(0) | TrackBack(0) | サイト運営
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/181131671
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック