パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

政府・官公庁の証明書をMSがWindows Updateで配布」記事へのコメント

  • 何故、素直に証明書を購入しないんでしょうかね。
    独自にCAを立ててルート証明書を管理すると当然ながら莫大な金額がかかるわけですが・・・。
    もし、秘密鍵が漏洩でもしたら、日本全体のPKIを破壊しかねないので(銀行やらポータルやらのフィッシングサイトから何から何まで作られちゃう)、絶対に漏洩しないように管理をしなくてはなりません。
    VeriSignがルート証明書の秘密鍵の管理に年間何百億かけていると思っているんでしょうか。

    SSL 証明書 | ジオトラストのRapidSSL [onlinessl.jp] などで証明書を購入すれば、年間たった(税込$32)の費用ですむわけです。
    (※もっと安いところがあったら教えて下さい。是非とも使わせてもら
    • 一国家の基幹となる証明書をいつまで存続するのか判らない民間企業から購入するわけにはいかないと思いますが?

      各機関のWebサーバの証明書ならまだしも、利用者(民間企業、個人)の証明書を発行しようとしたら、民間のCAのポリシーでは困る部分もあるのでは。
      • だから、サーバー証明書の話だけをしているのでは?

        サーバー証明書なんてどのみち1年期限ですし、いつ作り直してもいいわけです。

        • > だから、サーバー証明書の話だけをしているのでは?

          ああ、#1029321 [srad.jp]の人はサーバー証明書のことしか考えてないんですね。
          それなら買ったほうが安いでしょうね…

          電子署名とかが必要な場合は、個々の利用者が自分で証明書を買うわけですね。民間のCAから(笑
          • by Anonymous Coward
            そうじゃなくて、

            ・電子署名とかが必要な場合の個々の利用者が使う証明書は、政府認証基盤のCAから発行を受ける。
            ・ブラウザーで使うサーバー証明書は、政府側が民間CAから買う。

            という話でしょ。文系小役人並みに頭悪いですね。
            • >・電子署名とかが必要な場合の個々の利用者が使う証明書は、政府認証基盤のCAから発行を受ける。
              >・ブラウザーで使うサーバー証明書は、政府側が民間CAから買う。

              「住基ネットにブラウザからアクセスして住民票(署名入り)をダウンロード」は、どちらに分類するとお考えですか?

              「署名」の方じゃなくて「アクセス」時に個人情報を送信する方ですが。

              やっぱりブラウザ用も、結局、政府基盤のCA局が無いと気持ち悪いでしょう。
              • > やっぱりブラウザ用も、結局、政府基盤のCA局が無いと気持ち悪いでしょう。

                タレコミの論文 [aist.go.jp] 読みましたか?
                「気持ち悪い」と感じるのは技術的に誤った理解からだと書いてありますよ。5.2節です。
              • >「気持ち悪い」と感じるのは技術的に誤った理解からだと書いてありますよ。5.2節です。

                ご指摘ありがとうございます。 論文一読しまして、おおむね内容はその通りだと思います。

                問題は、現状に対する認識のずれに有るようです。

                論文5.3節に、

                >通信の信頼性は,ルートストアに登録された認証局のう ちの最も信頼性の低いところに依存してしまう

                とありますが、私はこれをより悲観的に考えていました。

                以前に、友人に無料でサーバ証明書を発行してくれる証明局を教えて貰ったことがあり、SSLの信用ツリー全体を0/1でしか見な
              • by Anonymous Coward on 2006年10月01日 1時21分 (#1029544)
                >見たことのない証明書に当たった場合は、ルート至るツリー全体の確認を強いるようなシステムでなければ、どうしょうもないんじゃないかと思っているたのですが・・・。

                SSLって中間証明書含めて送りつけて、ルート証明書までたどるんじゃなかったっけ?

                あと、証明書の信頼度を階層構造で一切割り引かない現状のPKIは確かに問題に思えるけど、でもまぁPKIってそういう思想なんでしょう。
                中庸な信頼値を与えたければPGPのようなメッシュモデルしかないのでしょう。きっと。PKIじゃないけど。
                親コメント

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...