Symantecが内部テスト用と称して実在のドメインの証明書を勝手に作っていた件

Kazuho Oku @kazuho

大手CAがこれは… / そして「as of June 1st, 2016, all certificates issued by Symantec itself will be required to support Certif… htn.to/NzSouX2AV

Kazuho Oku @kazuho

まとめると、certificate transparencyのログに不正なgoogle . comのEV証明書が現れる→G「おいsymantecなにやってんねん」→S「内部テスト用に使ってただけや。これがリストや」→G「うそつけもっといっぱいあるのはわかってるんや」→S「ごめん」

Kazuho Oku @kazuho

って流れか

Kazuho Oku @kazuho

で、G「内部テスト用とか言うて、あとからもっとありましたってなんやねん。まともに管理できてへんやんけ」ってお怒りでS発行の全証明書certificate transparencyで監視するでって流れか。しかしこれverisignもrsaもthawteも全部CT対象になるの？