すでにご存知の方もいるかとは思いますが、2017年前半の電子証明書業界の最大のトピックとして、Digicert社によるSymantec社の電子証明書ビジネスの買収が話題になっています。(※正確には、投資会社であるThoma Bravo 社が買収)そこで、これまでの経緯や今後について交わされた様々なやり取りを時系列にまとめました。
※各社の全ての表明を網羅している訳ではありません。
これまでの経緯
2015年9月にSymantec社の証明書の誤発行問題をGoogle社が指摘してから約2年が経過し、Google社によるSymantec社の証明書発行に関わる是正要求が決まりかけた段階で今回の買収が表明されました。
| 年月 | 内容 | 詳細 |
|---|---|---|
| 2015年9月18日 | Google社がSymantec社の再販業者からの証明書誤発行を発見 | Google Security Blog Improved Digital Certificate Security |
| 2015年10月28日 | Symantec社が未登録のドメインに対する証明書発行を公表 | Symantec社は未登録のドメインに対し、2,500枚近くの証明書を発行していたと公表。Google社はSymantec社に2016年6月1日以降は全ての証明書に対し、CT※に対応するよう要請を行った ※Certificate Transparencyの略 Google Security Blog Sustaining Digital Certificate Security |
| 2016年8月31日 | Symantec社がChromeにおけるCTの仕様変更ならびに影響の回避方法について掲載 | シマンテック公式サイト Google社 ChromeにおけるCertificate Transparency(CT)に関する仕様変更の内容ならびに影響の回避方法について |
| 2016年10月25日 | Google社がSymantec社 に2017年10月以降発行の証明書に対しCTを要請 | Announcement: Requiring Certificate Transparency in 2017 |
| 2016年11月10日 | Symantec社がChromeのバグによるエラー表示について案内 | シマンテック公式ブログ Chrome 53 Bug Affecting Symantec SSL/TLS Certificates |
| 2016年12月2日 | Symantec社がChromeのバグが改善されたことを報告 | シマンテック公式ブログ Update on Chrome 53 Bug Affecting Symantec SSL/TLS Certificates |
| 2016年12月7日 | Symantec社がChromeのバグによるCTエラーについて掲載 | シマンテック公式サイト Google社 Chrome53のバグによるCertificate Transparency (CT)エラーについて |
| 2017年1月19日 | Mozilla社からもSymantec社の証明書誤発行が報告される | Mozilla社 dev security policy (mdsp) listにて Misissued/Suspicious Symantec Certificates |
| 2017年1月26日 | Symantec社の調査により不正な証明書の数が127枚となる | Bugzilla@Mozilla Symantec: Mis-issued test certificates by CrossCert |
| 2017年3月24日 | Google社によるペナルティ案が提案される | Symantec社が不適切に発行した証明書が少なくとも30,000件あると表明。2017年8月8日までにすべてのSymantec社証明書を再発行させるよう提案。 また、Chrome 59にて33ヶ月以上の有効期間を持つSymantec社証明書に警告表示。以降、段階的に対象範囲を拡大させ、最終的にはChrome 64にて有効期間の対象を9ヶ月以内(279日以内)にする実装を行う案を発表 Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates |
| 2017年3月24日 | Symantec社が30,000枚のうち不適切な証明書は127枚であると反論 | シマンテック公式ブログ Symantec Backs Its CA |
| 2017年4月1日 | Mozilla社がSymantec社の問題に関するまとめページをwiki内に作成する | mozilla wiki CA:Symantec Issues |
| 2017年4月22日 | Google社がChromeでの信頼済み証明書に対するCT対応日を2018年4月に変更 | Certificate Transparency in Chrome - Change to Enforcement Date |
| 2017年4月26日 | Symantec社から当初より推奨された証明書発行プロセスの改善案を発表 | 2017年12月1日までに新たな第三者認証局を設立し、すべての既存証明書をそのルートから再発行すると提案 シマンテック公式ブログ Symantec CA Response to Google Proposal and Community Feedback |
| 2017年5月4日 | Symantec社SSL/TLS RAパートナーのシャットダウン及び再審査を実施したと発表 | 第三者認証局による発行、証明書有効期間短縮の案の不当性を訴える シマンテック公式ブログ Symantec CA Continues the Public Dialogue |
| 2017年5月19日 | Google社が新たな発表 | 発行インフラが改善されるまでは、証明書の発行は別の第三者認証局からに制限 ■新Symantec社PKIへの移行 2017年8月8日:証明書は第三者認証局より発行されなければならないが、既存の審査情報の再利用は行える 2017年11月1日:証明書の発行には第三者認証局によって再審査されなければならない。BR※で定めた審査情報再利用期間可の情報は使用する事ができる ※Baseline Requirementsの略 2018年2月1日:証明書の発行、審査は全て第三者認証局によって行われなければならない ■既存証明書 2016年6月1日以降もCT記載の証明書は信頼を続ける 2017年8月31日:Chrome 62にて2015年6月1日以前発行の証明書は信頼しない 2018年1月18日:Chrome 65にて2016年6月1日以前発行の証明書は信頼しない また第三者認証局についての条件、監査、発行される証明書を言及 Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates |
| 2017年5月19日 | Symantec社 のGoogle社の提案についての見解 | シマンテック公式ブログ Symantec CA’s Initial Response to Google’s Revised Proposal |
| 2017年5月23日 | Symantec社が提案した今後の対応についてのMozilla社側からの分析 | Mozilla Proposal re: Symantec |
| 2017年5月24日 | Google社の提案がSymantec社のみを対象としていると主張 | シマンテック公式ブログ Symantec Backs Its CA |
| 2017年6月1日 | Symantec社がGoogle社の新たな提案に対して反発 | シマンテック公式ブログ Symantec’s Response to Google’s subCA Proposal |
| 2017年7月12日 | Symantec社が証明書ビジネスを他の第三者認証局に売却するニュースが記事に | ロイター通信 Symantec explores selling web certificates business: sources |
| 2017年8月2日 | Digicert社がSymantec社の証明書ビジネスを買収すると発表 | 2017年12月までに取引完了させ、9億5000万ドルでDigicert社へ売却。両社で新会社を設立し、事態収拾と、証明書発行の改善策の履行などを行い、証明書事業を継続していく シマンテック公式ブログ A New Chapter: DigiCert to Acquire Symantec’s Website Security and Related PKI Solutions |
| 2017年8月8日 | Symantec社がSSLサーバ証明書の警告/エラー表示と回避方法について掲載 | シマンテック公式サイト 【FAQ】Google ChromeによるSSLサーバ証明書の警告/エラー表示と回避方法について |
| 2017年8月21日 | Google社のSubCA提案に対するSymantec社の応答 | Google の subCA 提案に対するシマンテックの応答 |
| 2017年9月11日 | Google社がSymantec社の今後の対応について発表 | Google Security Blog Chrome’s Plan to Distrust Symantec Certificates |
今後の動向
今後、「Symantec」「Thawte」「GeoTrust」「Rapid SSL」から発行されているSSLサーバ証明書は、Chromeで警告/エラーが表示されてしまうため、回避するには新インフラでの再発行が必要となります。
| 年月 | 内容 | 詳細 |
|---|---|---|
| 2017年12月1日 | Symantec社の新インフラがオンライン上に更新される | Google社からChrome 70がリリースされる前に全てのSymantec社の証明書が新インフラにて発行、再発行されなければならない |
| 2018年4月17日 | Google社からChrome 66がリリースされる | Symantec社が2016年6月以前に発行した証明書は再発行を行わないと信頼されなくなる |
| 2018年10月23日 | Google社からChrome 70がリリースされる | 信頼済みとなるためにはSymantec社は全ての証明書が新インフラにて発行されていなければならない |
Mozilla社もFirefoxをChrome の日程と歩調を合わせる見込みです。弊社を含め電子証明書を発行する第三者認証局も、今後の動きには注視しております。
トピック関連記事
この記事を書きました
杉野 充洋
所属:GMOグローバルサイン プロダクトマーケティング部
