Thawte社による不正証明書発行がシマンテックの問題としてしか取り上げられない件
グーグル、シマンテックのセキュリティ証明書発行に関するミスに対応など要求 - ZDNet Japan
シマンテックの社員が勝手にGoogleやOperaなどのセキュリティ証明書を発行して9月ぐらいからニュースになってるわけなのですが、ニュース見ただけだと、シマンテック社員が行った。やばい会社だってのしか伝わってこないです。
Thawteが発行したそれらのExtended Validation (EV) プレ証明書は、google.comドメインとwww.google.comドメインを対象とするものだった。Symantecが問題に気づいた後、プレ 証明書は即座に無効にされた。それらのプレ証明書が有効だった期間は1日だけなので、ユーザーのセキュリティが危険にさらされることはなかったと考えられ ている。 |
Thawte という一文が出てくるのですが・・・・ この ソート社とはいったい何なのかあまり今は知ってる人も少ないと思います
Thawte社(本社南アフリカ)は1995年に設立され、 1999年頃には世界で41%のシェアを獲得(Netcraft社調査)していました。 2000年、米国ベリサイン社にThawte社は買収されました。 また2010年にベリサイン社はシマンテックに買収されました。 現在シマンテックグループには、Symantec、thawte、GeoTrustという3ブランドの証明書があり、 お客様のご要望に合った証明書を世界中に提供しています。 |
つまり、1995年に 南アフリカで設立された 民度の低い ソート(Thawte) という会社があって、それを、 2000年にベリサイン社が買収して、それを 2010年にシマンテックが買収した って訳ですね
GeoTrust, Inc(ジオトラスト)は、SSLサーバ証明書の分野において、世界シェア第2位の認証局です。世界150カ国以上で100,000を超える顧客にSSL サーバ証明書を提供しています。2006年9月からはベリサイングループ(現シマンテックグループ)の1社となり、更なる発展を続けています。 |
ちなみに、 GeoTrust は2006年にシマンテックに買収されたよ
Symantec fires staffers after release of bogus Google certs - Security - iTnews
証明書は、会社が指定していなかった三つのドメインは、シマンテック社の子会社、Thawte社によってオーストラリアの時間9月15日に発行されました。 シマンテックは、「少数」であったということだけ言って、証明書がリリースされたどのように多くのテストを明らかにしませんでした。 |
こちらは海外のニュース。一応子会社の名前がちゃんと説明されてる
A Tough Day as Leaders | Symantec Connect Community
こちらに社員による後日談のブログが公開されているのですが、Thawte(ソート)社は上場廃止にするべきだとか、何がリーダーシップだとか、ぼろくそに叩かれてますねw
自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? - livedoor Blog(ブログ)
全ての状況を把握して発表した10月13日までに1か月もかかってる親会社の、シマンテックにも責任があるわけですが、子会社の ソート(Thawte)社 が暴走してやったことであることに全く触れないのはなにか政治的な意図があるのかなぁと思ったりします。
まぁ、似非日本企業のトレンドマイクロとかがライバル蹴落とすためのいい機会ですしね
その民度の低いThawteの創設者が作った会社によって提供されているのがUbuntuというLinuxディストリビューションであります
愚かにも今Ubuntuを使っているユーザは即座にLinuxをやめてWindows2000にしましょう
というか、創始者は、Thawteを早々に売却して見切りをつけてUbuntuを作ったんじゃなかったっけ|・ω・)?