Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる

Google Chromeの次のバージョン(v70)では、多くの安全なサイトがエラーメッセージを表示して停止する。それはこのブラウザーが、一連のセキュリティ事故のあと、メジャーなHTTPS証明プロバイダー一社の、信用を外したからだ。

Chrome 70は10月16日にリリースの予定だが、2016年6月よりも前に発行された、古いSymantecの証明を使ってるサイトはブロックされるようになる。それらは、Thawte, VeriSign, Equifax, GeoTrust, RapidSSLといったレガシーなブランドの証明だ。

対策を講じる時間は1年以上もあったのに、人気サイトの多くが対応を怠っている。

セキュリティ研究家のScott Helmeによると、Alexaがランク付けした上位100万のサイトのうち、1139ものサイトが、古い証明を使っている。それらは、Citrus, SSRN, Federal Bank of India(インド国立銀行), Pantone, Tel-Aviv city government(テルアビブ市庁), Squatty Potty, Penn State Federalなどなどだ。

FerrariOne IdentitySolidworksも彼のリストに載っていたが、最近新しい証明に切り替えたので今後のダウンはない。

Chromeでコンソールを表示すると、どんなWebサイトでもチェックできる(画像提供: TechCrunch)

HTTPS証明は、コンピューターとWebサイトやアプリとの間のデータを暗号化し、公開Wi-Fiホットスポットなども含めて、誰もデータを傍受できないようにする。それだけでなく、HTTPS証明はサイトの真正性の証明にもなり、ページが誰かによって書き換えられていないことを保証する。

多くのWebサイトが証明機関から証明を入手する。それらの証明機関は、一定のルールと手続きを守ることにより、長期間、Webブラウザーから信用される。

事故が起きたりしてブラウザーの信用を失うと、その機関からの証明のすべてをブラウザーは拒否する。

Googleが昨年、Symanecの証明を認めないと宣言したのも、そのためだ。Googleなど数社が、不正な証明を発行しているとしてSymantecを非難した。さらにその後Symantecが、必要な厳しい監督もせずに、信用のない機関に証明の発行をさせていたことが分かった。そのため数千のサイトが、彼らが金を払っていた証明を破り捨て、新しい証明に切り替えて、Chrome 70の期限が過ぎたときにエラーメッセージが出ないようにした。

しかし、ブラウザーは認証機関を信用しなくなるだけでなく、新しい機関を信用することもある。

たとえば無料のHTTPS証明を提供しているLet’s Encryptは今年初めから、Apple, Google, Microsoft, Mozillaなど、メジャーなブラウザーメーカーのすべてから信用されている。この非営利機関はこれまで、3億8000万あまりの証明を発行した

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Dropbox Businessが企業ユーザーのためのセキュリティを多面的に強化、ソフトウェア管理のオンプレミス並を目指してSymantecとパートナー

dropbox-image

最近のDropboxは、同社のDropbox Businessプロダクトに力を入れていて、今日は同社の企業向け製品を大企業によりアッピールするための広範なアップデートの一環として、セキュリティベンダSymantecとのパートナーシップを発表した。

Dropboxの企業プロダクト担当部長Rob Baesmanによると、今回アドミンツールをアップデートする理由は、ユーザーに一定のコントロール能力を提供するとともに、企業が今すでに使っているセキュリティツールを併用できるようにするためだ。しかも全体の使い勝手は、Dropboxの消費者製品並に使いやすいものでなければならない。

Dropboxがその企業用バージョンをローンチした2014年には、すでに消費者ユーザーが2億7500万いた。今では全ユーザー5億のうち、20万が企業顧客だ。もちろん企業プロダクトをローンチするときも、消費者間における人気をうまく利用するつもりだったのだが、しかし実際にはいろんな問題にぶつかった。

企業のIT部門の多くが、Dropboxの消費者製品はセキュリティに問題がある、と見ていた。彼らは、社員たちが自分個人のアカウントで会社の仕事をシェアすることを嫌った。一方社員たちは、会社にいないときにはもっと簡単に素早くファイルにアクセスしたい、と願っていた。モバイル化がどんどん進んでいる中で、楽に仕事をしたいという彼らの願望を非難するのは無理だ。

企業世界に商機あり、と見たDropboxは、Dropbox Businessを立ち上げた。今日(米国時間11/16)の発表はそのプロダクトのさらなる成熟を表すもので、とくに、パートナーシップとより高度な管理機能によって、Dropbox BusinessをITにとってより魅力的な製品にしようとしている。彼らIT部門が、会社におけるDropboxの利用を強力に制御し、管理するためのツールを、提供するのだ。

今のDropboxは30以上のセキュリティ関連パートナーシップを結んでおり、それらは、データ喪失防止(data loss prevention,DLP)や、エンタープライズモバイル管理(enterprise mobility management, EMM), アイデンティティとアクセスの管理、データの移行(マイグレーション)、eDiscoveryとアナリティクスなど、多岐にわたる。それらの中で今日とくにスポットライトを当てたのがSymantecで、Symantecの企業顧客担当VP Peter Doggartを講演者として招いたほどだ。

Symantecとのパートナーシップは、エンタプライズ顧客がDropbox Businessを安全に使えるようにするとともに、クラウド上のソフトウェアに対するコントロールを、これまでの自社のオンプレミスソフトウェアに対するのと同じぐらいに厳しくするためだ。“長年オンプレミスのDLPを使ってきた顧客は、それとまったく同じポリシーをDropboxに対して適用して、クラウド/オンプレミスの統合を真に強力かつ堅牢にしたいのだ”、とDoggartは説明する。

また、Dropbox自身のネットワークアドミンツールも強化され、企業のネットワークの上でDropboxの企業トラフィックと個人トラフィックを厳密に区別し、管理できるようになった。また、社員による公私混用を認めない企業では、そういう設定もできる。

このようにDropboxは、企業のIT部門の心をつかもうと努力している。20万社の企業顧客は、数として多いように見えるが、しかし5億の消費者ユーザーに比べると大海の一滴だ。今日のようなセキュリティ強化策の発表は、同社が企業分野でのプレゼンスを、もっともっと大きくしていきたいという、願いと努力の表れだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))