Googleからシマンテックへ:あなたの行為をクリーンアップするか、ブランドに安全でない

シマンテック、[アップデート:1.23pm GMT:シマンテックの声明]

Googleはシマンテックについて法律を定め、企業が証明書を取り扱う仕組みを明確にしている。

シマンテックの最新のパフォーマンスは、セキュアなウェブ証明書を発行する際にGoogleが明らかに喜んでいるとは言えず、同じミスが再び起こるのを防ぐための要求リストを概説している。

シマンテックは9月、トランスポート層セキュリティ(TLS)証明書を発行する際に目に見えて間違った数の従業員を解雇しました。同社は、「従業員の間違い」により、Googleやシマンテックの同意なくオンラインで暗号証明書を発行し、攻撃者がHTTPSで保護されたGoogleページを偽装できるようにした

このような著名なオンラインサービスプロバイダで想像されるように、このようなセキュリティの失敗は、あなたがカーペットの下で磨くことができる小さな間違いではありません。

これらの証明書が検出されずに野生に出ることが許された場合、サイバー攻撃者は合法的なドメインを偽装するフィールドデーを持つことができます。これにより、オンラインユーザーは監視、データ盗難、セッションハイジャックの危険に晒され、Googleの責任を果たします。

ThawteブランドのExtended Validation(EV)事前証明書は、google.comおよびwww.google.comドメイン用です。シマンテック社がこの問題に気づいた時点ですぐに取り消され、事前証明書が1日のみ有効であったため、ユーザーのセキュリティが危険にさらされているとは考えられませんでした。

しかし、この問題についての完全な報告では、76のドメインを超える164の証明書と決してなかったドメインのための2,458の証明書が追加される前に、23のテスト証明書が無許可で発行されたことが明らかになりました。登録されたものが見つかりました。

「これらのテスト証明書は、シマンテックの安全なテストラボやQAテストマシンを離れたことがないため、誰も組織にリスクをもたらしたことはなく、エンドユーザーには決して見えませんでした。

さらに、テスト証明書はQAテストマシンでは使用されませんでした。最後に、テスト証明書に関連付けられた秘密鍵はすべて、テスト証明書の登録に使用されたテストツールの一部として破棄されました。

Googleのソフトウェアエンジニア、Ryan Sleeviは、水曜日、ブログの記事で、数分の作業で「この問題に関するGoogleの独自の調査により、さらに疑わしい証明書がいくつか提起された」と述べた。

この問題は、いくつかの従業員が間違ったタイミングでテスト証明書を発行することはもうなくなりました。 Googleのシマンテックの元従業員との出会いが残っているように見えるのは、何百万人ものユーザーの脅威にさらされる可能性の数千もの証明書です。

エンジニアは、このような事態を防ぐため、2016年6月1日からシマンテックが発行するすべての証明書を証明書の透過性をサポートするように要求するか、Google Chromeブラウザは、離れたユーザー。

このポリシーでは、ウェブサイトがPaypalやAppleなどの特定の組織によって所有されていることを証明するために、TLSクレデンシャルを記録する必要があります。シマンテック社は証明書拡張を使用するドメインだけでなく、

Sleevi氏は、「この場合、非EV証明書のロギングにより、問題に対するより大きな洞察が得られ、問題が早期に検出される可能性がある」と述べています。

Star Trek:50年にわたる積極的な未来主義と大胆な社会的解説、MicrosoftのSurfaceオールインワンPCが10月のハードウェアの発売を見出し、iPhone 7、新しいApple Watch、AirPodを手がけ、GoogleはApigeeを6億2,500万ドルで買収

ハードウェアとデータセキュリティのためのトップガジェットとアクセサリー、効果的なRedチームのエンタープライズハックを開始する方法Ashley Madisonのウェイクでは、ここにセックス、悲しみと強要の男の話があります。今何が?あなたがダークウェブについて知らなかった10の事柄

この日以降、シマンテックの資格情報を使用するHTTPSウェブサイトには、安全で安全でない可能性のあるコンテンツを警告するページや、Googleサービスで使用される場合の「その他の問題」が含まれている可能性があります。シマンテックにとっては、これはユーザーとの関係に深刻なダメージを与える可能性がありますが、ライバル企業にとってはメリットとなる可能性があります。

Googleはまた、シマンテックが、シマンテックが見つけた追加の証明書、セキュリティ会社の失敗の詳細、間違いが起こることが許された理由、およびどのような措置が取られるのかについて、将来の繰り返しのパフォーマンスを防ぐために。

要求の完全なリストは以下の通りです

これらの是正措置の実施後、シマンテックはPoint-in-Time Readiness Assessmentとサードパーティのセキュリティ監査を受けることを期待しています。 Point-in-Timeアセスメントは、シマンテックのこれらの各標準への適合性を確立します

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

WebTrustの原則と認証機関の基準

WebTrustの原則と認証機関の基準 – ネットワークセキュリティを使用したSSLベースライン

WebTrustの原則と認証機関の基準 – 拡張検証SSL

第三者のセキュリティ監査では、

シマンテック社の主張には、シマンテック社の秘密鍵がシマンテック社の従業員に公開されたことはありません。

シマンテックの従業員は、問題のツールを使用して、従業員が秘密鍵を管理していた証明書を取得できませんでした。

シマンテックの監査ロギングメカニズムは、CPSのセクション5.4.4で説明されているように、変更、削除、または改ざんから適度に保護されていること。

シマンテックの広報担当者がウェブサイトに語った

9月には、シマンテック社の社内使用のための少数のテスト証明書が誤って発行されたことが警告されました。私たちは直ちに私たちの完全なテスト証明書の歴史を公に調査し始めました。そのほとんどは存在しないドメインと登録されていないドメインのものでした。ユーザーや組織に何らかの害が生じているという証拠はありませんが、このタイプの製品テストは、私たちが維持しようとしているポリシーや基準と一致しませんでした。

これらのテスト証明書はすべて失効したか、期限切れになったことが確認され、ブラウザコミュニティに直接ブラックリストに登録されました。この種のテストが今後発生するのを防ぐため、ツール、ポリシー、プロセスのセーフガードを追加し、すべての証明書の証明書の透過性ログを開始する計画を発表しました。当社は、年次監査の範囲を拡大することに加えて、当社のアプローチを評価するために独立した第三者を雇用した。

読んでください:トップピック

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン