人生でレモンをもらったら…そのレモンを10億ドル近くで誰かに売ればいい。少なくともシマンテックはそう考えているようだ。というのも、同社はDigiCertが同社の「ウェブサイトセキュリティおよび関連PKIソリューション」を9500億ドルの現金で買収することに合意したと発表したからだ。(シマンテックは買収完了時にDigiCertの普通株式の30%も取得する。)その解決策の一つが、シマンテックの問題を抱える認証局(CA)部門だ。
問題は、2015年10月にGoogleがシマンテックが「google.com」ドメインに不正な証明書を発行したことを発見したことから始まりました。シマンテックとGoogleはこの問題を調査し、何度かやり取りを重ねた結果、両社は管理組織の許可なくドメインに100件以上の証明書が発行されていたことを発見しました。また、登録されていないドメインに2,458件の証明書が発行されていたことも判明しました。
これらは重大なミスです。認証局(CA)とそれらが発行する証明書は、ウェブサイトへの接続の安全性を確保する保護の基盤となっています。このシステムは証明書が信頼できる場合にのみ機能しますが、シマンテックが発行した不正な証明書は、その信頼を揺るがしました。しかし、問題はそれだけではありませんでした。2015年12月、シマンテックが自社のルート証明書でCA/ブラウザフォーラムのベースライン要件をサポートしないことを決定したため、GoogleはChromeとAndroidからシマンテックのルート証明書を削除しました。これはGoogleにとって決定的な要因となり、信頼は失われました。
3月にGoogleがシマンテック発行の証明書を段階的に信頼停止すると発表したことで、事態はさらに悪化しました。今回の理由は、シマンテックが過去数年間で3万件もの証明書を不適切に発行していたためです。Googleはまた、シマンテックのEV証明書の承認を直ちに停止し、少なくとも1年間は再信頼(再信頼という言葉が適切かどうかは分かりませんが)しないと表明しました。シマンテックのCA事業は暗い影を落としていました。
シマンテックは4月に、Googleに対し、自社の証明書が多くのウェブサイト運営者にとっていかに重要であるかを示すための11項目の透明性向上計画を策定しました。この計画は、人気サイトへの影響を考慮し、Googleに方針を再考させる狙いがあったと考えられます。しかし、Googleは態度を変える気配を見せなかったため、シマンテックは問題のある事業をDigiCertに売却することを決定したと考えられます。
シマンテックは発表の中で、取締役会がデジサートとの買収を全会一致で承認したと述べた。買収は2018年第3四半期に完了する予定だ。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
