米シマンテックは2017年4月26日(米国時間)、同社が発行するサーバー証明書(TLS/SSL証明書)の監査などを強化し、安全性や透明性を高めると公式ブログで明らかにした。米グーグルがシマンテック発行のサーバー証明書への信頼度を下げるとした提案を受けての対応だ。

 グーグルのブラウザー開発チームは2017年3月24日、シマンテックが発行するサーバー証明書には問題が多いとして、有効期間の短縮やEV SSL証明書のEVステータス無効化などを提案した。

 グーグルの提案直後、シマンテックは公式ブログで短く反論しただけだった。今回、ユーザーからのフィードバックや具体的な改善策の内容を明らかにした。

 同提案後、シマンテックには同社証明書のユーザー企業から影響を懸念するフィードバッグが多数寄せられたとしている。同社の証明書に依存するシステムは多く、グーグルの提案が実施されると、事業継続に影響を与えると訴えているという。

 このためシマンテックでは、グーグルの提案よりも効果的とする改善策を“逆提案”した。改善策の中心は第三者による監査の強化。例えば、シマンテックが発行した全てのEV-SSL証明書を2017年8月末までに監査する。加えて、監査を継続して四半期ごとに報告し、透明性を高める。

 また、2017年8月末までに有効期間が3カ月と短い証明書の提供を開始する。これにより、ユーザーの選択肢が増えるとしている。有効期間が短いことで証明書の不正利用に気付きやすくなるとともに、ECDSAやSHA-3といった新しい業界標準にもすぐに対応できるようになるという。

 そのほか、認証業務の継続的な改善などにも言及している。