違います。Windowsの製品パッケージに最初から収録されている証明書です。これをオレオレ署名と言うならブラウザに最初からルート証明書が含まれていてもオレオレ署名ですから、すべての証明書はオレオレ署名ということになります。別にオレオレ署名という用語をそのように定義するのは勝手ですが、そんな用語を定義して何の意味があるのでしょうか。 Microsoft Updateで入る証明書も、すでに存在する証明書で署名を確認してから入れています。決してオレオレ署名をやみくもに入れているわけではありません。
Windows(IE)とかFirefoxにプリインストールしてもらうためには、基本的に、WebTrust for CA の認証を取得しないとダメで、MSやMozillaはその第3者の認証をもってルート証明書を信用 している。でも、WebTrustの認証を得るためには結構な費用がかかるので、フリーのCA(cacert とか)は費用が無いため、結果的に入れてもらえない。
たかがブラウザなのに (スコア:2, オフトピック)
Firefox Setup 3.0.7.exe(日本語インストーラ版)が 7.0MB に対して、IE8-WindowsXP-x86-JPN.exe のファイルサイズが 16.2MB とは大きすぎやしませんか?
# 普段はShiretoko使いなのでID
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:1)
おしえて、セキュリティに詳しいひと。
CN = Microsoft Code Signing PCA
も気になるけど
すっかり技術についていけんわ
Re:たかがブラウザなのに (スコア:1)
それは、Authenticodeの電子証明書の有効期限でしょ?
その証明書を使ってバイナリに電子署名している。
2010/01/23以降はその証明書は使えなくなる(新たに署名には使えない)けれど、
署名時刻についてタイムスタンプサーバーの証明書が結構長期なのでまあその
期間(2008/07/26から2013/07/26)は大丈夫でしょう、ということなんだと思う。
MSは自社のバイナリには基本的に署名つけるらしいので、コスト的に自前でCAを運用
してもコスト的にペイするんじゃないかな?(あるいは、単にプライドの問題かも)
Re: (スコア:0)
Re:たかがブラウザなのに (スコア:2)
なるでしょう.
MS の署名もオレオレ証明.
ただ MS の場合は MicrosoftUpdate で MS 謹製 CA の証明書を入れさせているから,ユーザは意識していないだけかと.
Re:たかがブラウザなのに (スコア:3, 参考になる)
嘘は書かない。(#1534658)のAC [srad.jp]が書いたとおり.
以前にも誰かが書いたことですが、オレオレ証明とは「オレの証明書は正しい」という主張が間違っているのではなく「そもそもオレの証明書かどうかを確かめ(させ)ない」ことに問題があるのです。
MS が自身の証明書をインストールさせているのは、「オレ(MS)の証明書かどうか」を確かめる手段の提供に他なりません。もし MS にインストールされた証明書など信用できないというなら、同じように Windows と一緒に入手したあらゆるルート証明書も信用できないことになります。
Re: (スコア:0)
違います。Windowsの製品パッケージに最初から収録されている証明書です。これをオレオレ署名と言うならブラウザに最初からルート証明書が含まれていてもオレオレ署名ですから、すべての証明書はオレオレ署名ということになります。別にオレオレ署名という用語をそのように定義するのは勝手ですが、そんな用語を定義して何の意味があるのでしょうか。
Microsoft Updateで入る証明書も、すでに存在する証明書で署名を確認してから入れています。決してオレオレ署名をやみくもに入れているわけではありません。
Re:たかがブラウザなのに (スコア:1)
いわゆるオレオレ証明書なのかどうかの定義って、発行者自身だけが正当性を主張している、
信用できない証明書のことではないのかな?
ブラウザorシステムにルート証明書がプリインストールされていないCAで発行された証明書か、
あるいは、そもそも、ネットなどからダウンロードさせて、ユーザの手でインストール(確認)
させるルート証明書(とそれで署名された証明書)のことなんでしょう。
Windows(IE)とかFirefoxにプリインストールしてもらうためには、基本的に、WebTrust for CA
の認証を取得しないとダメで、MSやMozillaはその第3者の認証をもってルート証明書を信用
している。でも、WebTrustの認証を得るためには結構な費用がかかるので、フリーのCA(cacert
とか)は費用が無いため、結果的に入れてもらえない。
http://www.microsoft.com/japan/technet/archive/security/news/rootcert.... [microsoft.com]
http://www.azsa.or.jp/b_info/letter/68/01.html [azsa.or.jp]
ところで、本題のMS自身のCAだけど、Firefoxにはプリインストールされていないようだから、
きっとこれはWebTrustの認証を取得していないのではないだろうか?
正規のWindowsをちゃんと金払って買えば、必ず初めから入っているのだから、第3者の認証は
必要ないと考えているのかも。そういう意味では、これはオレオレ証明書かもね。
ついでに調べてみたけれど、LPKI、GPKIはWebTrustの認証を取得したようですね。
Re: (スコア:0)
オレオレは、その場でルートに相当する証明書を発行して信用しろということなんでしょうね。
結局自己署名証明書だろうがなんだろうが手渡し等々信頼できる方法で受け渡しできていればSSL程度の証明書としては何の問題もありません。SSLの証明書もその程度の基準で取得できてしまいます。EV SSLとしては通用しないでしょうけど。
あらゆるところで適当にばらまかれているブラウザに最初から入っていることが信頼できる方法かどうかはわかりません。
Re:たかがブラウザなのに (スコア:3, 参考になる)
だから、ブラウザのバイナリには電子署名をつけて配布しているよね。
あらゆるところで適当にばらまかれたものでも確認できるように。
FirefoxはMozilla Corporationの電子証明書で署名されている。そして、その証明書は
Thawte(VeriSign)で発行されていて、VeriSignはWebTrustで認証されているので、
初めからルート証明書がWindowsにプリインストールされている。
もちろん、インストーラ実行時に表示されるMozilla Corporationなんて知らない、とか
信用できないよ、とか発行しているThawteが信用できるのか、とか言い出したらしょうが
ないけれど。
あるいは、そもそも、著名でないマイナーなブラウザを入れちゃうという時にも、そもそも
そのベンダー自体が信用できるのかどうかは、インストーラーの電子証明書では確認できない。
Authenticodeに使う証明書は確かに実在証明が確認できれば発行されちゃうので、普通の
SSL証明書レベルの基準ではあるけれど、今後EV SSLみたいなのが出るのかもね。
Windowsのドライバに署名する証明書は基準が厳しくなって、認証局が限られているらしいし。
Re: (スコア:0)
> Authenticodeに使う証明書は確かに実在証明が確認できれば発行されちゃうので、普通の
> SSL証明書レベルの基準ではあるけれど、今後EV SSLみたいなのが出るのかもね。
普通のSSL証明書は実在証明なんかしませんよ。コード署名は(少なくともVeriSignのClass 3は)最初からEV SSLレベルの実在証明を確認しているはずです。EV SSLが違うのは、認証局によらず審査のレベルを保証するために標準化して、ブラウザにも実装を促したことです。
Re:たかがブラウザなのに (スコア:1)
ああ、そういえばそうでしたね。記憶違いでした。
一番簡単に取得できるのは、そのドメイン名での電子メールの到達性だけ確認して発行していたなあ。
コード証明書について、VeriSignの基準は厳しいかもしれないけれど、ほかのところはそうでもないよ。
Comodoとか。だからEV SSLのような新たな区分と標準化が望まれるということだね。
Re: (スコア:0)
世の中の証明書なんて、全てがオレオレ証明書か、オレオレさんの子分証明書だよ
電話でかかってきたオレは信用しないけど、会社で名刺交換したオレは信用するって程度の違いしかない