INASOFT 管理人のひとこと

GoogleがSymantecのSSL/TLS証明書を信用できないと提案した件、いよいよ本格的に動き出していて、各所のSSL証明書が無効化されてきているようです。

あまり証明書業界の話に詳しくなかったのでよく分かっていなかったのですが、Symantecがgoogle.com名義の証明書を127枚ほど不正に発行したとか、発行の手続きのルールがよろしくないとのことで、Symantecとその傘下の証明書を段階的に無効化していくことになったとか。

Symantecとその傘下で発行している証明書は世界中のけっこうなシェアを占めているようで、世界的にも混乱する出来事です。

Symantec社も最初は抗っていたものの、段階的な無効化に同意し、また、証明書の発行業務もDigiCertに引継ぎ、社員を大量に移行させ、さらにSymantecがDigiCertの株を大量に買うということで、落ち着いたとか。

業界内のきな臭い話と、大人同士の臭い話が色々と入り組んでいて気持ち悪いんですけどね。

INASOFTのサイトが置かれているさくらインターネットでも、証明書はSymantec傘下のものを使っているとのことで、証明書の本来の期限前でも証明書の再取得が必要になるとかで、多少の混乱はあるようです。

INASOFTでは、ダウンロードサイトとして、さくらインターネットの共有SSLを利用していますが、これも影響を受けるかはよくわかりません。

まぁ、共有SSLは、さくらインターネットの持ち物なので、僕がアレコレできる話でも無いんですけどね。

ここで気になるのが、Symantecの会社としての信頼性、セキュリティ企業としての信頼性はどうなるのか？という話。

僕自身は前々から、Symantecのファイルインサイト機能は信頼できないですねと言っていたり、Symantec社の幹部だったか誰だったかが、ウイルス対策ソフトはもう終わりだ的な発言をしてみたり、Symantec社自身の信頼性が低くなってきているなぁというのは感じて来てはいるところです。

証明書発行業務でもポカをやらかしているということで、セキュリティ企業Symantec社としての信頼性そのものも、地に落ちているのかなぁと思います。

まぁ、Symantec社は新しく証明書業務を担うDigiCertの株主になるなど、落としどころを探った上での経営的決断の後、証明書の失効に同意したそうなのですが、一連の流れ、一連のドタバタ、Symantec社の証明書を利用している企業の管理者の作業が増加したこととか、諸々考えると、Symantec社ってセキュリティ企業として信用できる企業と言えるのかどうか・・・が、まぁなんというか、アレですよね。