アカウント名:
パスワード:
Firefox Setup 3.0.7.exe(日本語インストーラ版)が 7.0MB に対して、IE8-WindowsXP-x86-JPN.exe のファイルサイズが 16.2MB とは大きすぎやしませんか?
# 普段はShiretoko使いなのでID
それは、Authenticodeの電子証明書の有効期限でしょ?その証明書を使ってバイナリに電子署名している。
2010/01/23以降はその証明書は使えなくなる(新たに署名には使えない)けれど、署名時刻についてタイムスタンプサーバーの証明書が結構長期なのでまあその期間(2008/07/26から2013/07/26)は大丈夫でしょう、ということなんだと思う。
MSは自社のバイナリには基本的に署名つけるらしいので、コスト的に自前でCAを運用してもコスト的にペイするんじゃないかな?(あるいは、単にプライドの問題かも)
いわゆるオレオレ証明書なのかどうかの定義って、発行者自身だけが正当性を主張している、信用できない証明書のことではないのかな?
ブラウザorシステムにルート証明書がプリインストールされていないCAで発行された証明書か、あるいは、そもそも、ネットなどからダウンロードさせて、ユーザの手でインストール(確認)させるルート証明書(とそれで署名された証明書)のことなんでしょう。
Windows(IE)とかFirefoxにプリインストールしてもらうためには、基本的に、WebTrust for CAの認証を取得しないとダメで、MSやMozillaはその第3者の認証をもってルート証明書を信用している。でも、WebTrustの認証を得るためには結構な費用がかかるので、フリーのCA(cacertとか)は費用が無いため、結果的に入れてもらえない。
だから、ブラウザのバイナリには電子署名をつけて配布しているよね。あらゆるところで適当にばらまかれたものでも確認できるように。
FirefoxはMozilla Corporationの電子証明書で署名されている。そして、その証明書はThawte(VeriSign)で発行されていて、VeriSignはWebTrustで認証されているので、初めからルート証明書がWindowsにプリインストールされている。
もちろん、インストーラ実行時に表示されるMozilla Corporationなんて知らない、とか信用できないよ、とか発行しているThawteが信用できるのか、とか言い出したらしょうがないけれど。
あるいは、そもそも、著名でないマイナーなブラウザを入れちゃうという時にも、そもそもそのベンダー自体が信用できるのかどうかは、インストーラーの電子証明書では確認できない。
Authenticodeに使う証明書は確かに実在証明が確認できれば発行されちゃうので、普通のSSL証明書レベルの基準ではあるけれど、今後EV SSLみたいなのが出るのかもね。
Windowsのドライバに署名する証明書は基準が厳しくなって、認証局が限られているらしいし。
> Authenticodeに使う証明書は確かに実在証明が確認できれば発行されちゃうので、普通の> SSL証明書レベルの基準ではあるけれど、今後EV SSLみたいなのが出るのかもね。普通のSSL証明書は実在証明なんかしませんよ。コード署名は(少なくともVeriSignのClass 3は)最初からEV SSLレベルの実在証明を確認しているはずです。EV SSLが違うのは、認証局によらず審査のレベルを保証するために標準化して、ブラウザにも実装を促したことです。
ああ、そういえばそうでしたね。記憶違いでした。一番簡単に取得できるのは、そのドメイン名での電子メールの到達性だけ確認して発行していたなあ。
コード証明書について、VeriSignの基準は厳しいかもしれないけれど、ほかのところはそうでもないよ。Comodoとか。だからEV SSLのような新たな区分と標準化が望まれるということだね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
たかがブラウザなのに (スコア:2, オフトピック)
Firefox Setup 3.0.7.exe(日本語インストーラ版)が 7.0MB に対して、IE8-WindowsXP-x86-JPN.exe のファイルサイズが 16.2MB とは大きすぎやしませんか?
# 普段はShiretoko使いなのでID
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:1)
おしえて、セキュリティに詳しいひと。
CN = Microsoft Code Signing PCA
も気になるけど
すっかり技術についていけんわ
Re: (スコア:1)
それは、Authenticodeの電子証明書の有効期限でしょ?
その証明書を使ってバイナリに電子署名している。
2010/01/23以降はその証明書は使えなくなる(新たに署名には使えない)けれど、
署名時刻についてタイムスタンプサーバーの証明書が結構長期なのでまあその
期間(2008/07/26から2013/07/26)は大丈夫でしょう、ということなんだと思う。
MSは自社のバイナリには基本的に署名つけるらしいので、コスト的に自前でCAを運用
してもコスト的にペイするんじゃないかな?(あるいは、単にプライドの問題かも)
Re: (スコア:0)
Re: (スコア:1)
いわゆるオレオレ証明書なのかどうかの定義って、発行者自身だけが正当性を主張している、
信用できない証明書のことではないのかな?
ブラウザorシステムにルート証明書がプリインストールされていないCAで発行された証明書か、
あるいは、そもそも、ネットなどからダウンロードさせて、ユーザの手でインストール(確認)
させるルート証明書(とそれで署名された証明書)のことなんでしょう。
Windows(IE)とかFirefoxにプリインストールしてもらうためには、基本的に、WebTrust for CA
の認証を取得しないとダメで、MSやMozillaはその第3者の認証をもってルート証明書を信用
している。でも、WebTrustの認証を得るためには結構な費用がかかるので、フリーのCA(cacert
とか)は費用が無いため、結果的に入れてもらえない。
Re: (スコア:0)
オレオレは、その場でルートに相当する証明書を発行して信用しろということなんでしょうね。
結局自己署名証明書だろうがなんだろうが手渡し等々信頼できる方法で受け渡しできていればSSL程度の証明書としては何の問題もありません。SSLの証明書もその程度の基準で取得できてしまいます。EV SSLとしては通用しないでしょうけど。
あらゆるところで適当にばらまかれているブラウザに最初から入っていることが信頼できる方法かどうかはわかりません。
Re:たかがブラウザなのに (スコア:3, 参考になる)
だから、ブラウザのバイナリには電子署名をつけて配布しているよね。
あらゆるところで適当にばらまかれたものでも確認できるように。
FirefoxはMozilla Corporationの電子証明書で署名されている。そして、その証明書は
Thawte(VeriSign)で発行されていて、VeriSignはWebTrustで認証されているので、
初めからルート証明書がWindowsにプリインストールされている。
もちろん、インストーラ実行時に表示されるMozilla Corporationなんて知らない、とか
信用できないよ、とか発行しているThawteが信用できるのか、とか言い出したらしょうが
ないけれど。
あるいは、そもそも、著名でないマイナーなブラウザを入れちゃうという時にも、そもそも
そのベンダー自体が信用できるのかどうかは、インストーラーの電子証明書では確認できない。
Authenticodeに使う証明書は確かに実在証明が確認できれば発行されちゃうので、普通の
SSL証明書レベルの基準ではあるけれど、今後EV SSLみたいなのが出るのかもね。
Windowsのドライバに署名する証明書は基準が厳しくなって、認証局が限られているらしいし。
Re: (スコア:0)
> Authenticodeに使う証明書は確かに実在証明が確認できれば発行されちゃうので、普通の
> SSL証明書レベルの基準ではあるけれど、今後EV SSLみたいなのが出るのかもね。
普通のSSL証明書は実在証明なんかしませんよ。コード署名は(少なくともVeriSignのClass 3は)最初からEV SSLレベルの実在証明を確認しているはずです。EV SSLが違うのは、認証局によらず審査のレベルを保証するために標準化して、ブラウザにも実装を促したことです。
Re:たかがブラウザなのに (スコア:1)
ああ、そういえばそうでしたね。記憶違いでした。
一番簡単に取得できるのは、そのドメイン名での電子メールの到達性だけ確認して発行していたなあ。
コード証明書について、VeriSignの基準は厳しいかもしれないけれど、ほかのところはそうでもないよ。
Comodoとか。だからEV SSLのような新たな区分と標準化が望まれるということだね。