アカウント名:
パスワード:
やむを得ず自己署名証明書やフィンガープリントをWeb配信する際には、他の認証局の証明書で保護されなければならない。なぜこれがわからないのか。GPKIの自己署名証明書のページは平文だし、フィンガープリントのページは暗号化されているがGPKIの証明書で保護されている。GPKIの証明書をインストールするためのフィンガープリントを、GPKIの証明書で保護してどうしろというの?あほちゃうかと。go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので、それぐらいの予算はあるだろ。
その点、LGPKIの自己署名証明書の配布ページ [lgpki.jp]は完璧。俺みたいに口煩い自治体職員がいるからなと思ったら、いつの間にかベリサインからLGPKIの証明書になっている。ホントに糞。
フィンガープリントが官報(平成23年5月11日第5551号)で公示されているので「他の認証局の証明書で保護」しなくても問題ない
そもそも署名業者の信頼性はブラウザ配布者の胸先三寸で決められているというのに、署名業者を神聖視するのは止めないか?ブラウザ組み込みのルート証明書の信頼性なんてプライバシーマークの信頼性と似たようなもの
認証機関は天下りの温床であるから、モジラさまが管理すべきというなんらかの信念に基づいた主張なんだよ。
たぶん
フィンガープリントはe-gov [e-gov.go.jp]でも確認できるよ。
業者に頼らなくても、すでに信頼されているAPCAでAPCA2に署名すればいいだけなのにね。
そのe-gov.go.jpをどうやって信頼するのかという話なんですが
APCA(1)は信頼されています。
GPKIの証明書をやむを得ずwebページで配布してしまっている、という問題もあるが、根本はFirefoxの対応遅れだろ。ルート認証局が増えるのに、対応の遅いWebブラウザがあるせいで、足を引っ張られている。
まず、ストーリのタイトルが悪い。「GPKI(政府認証基盤)の対応遅れにより」ではなく、「GPKI(政府認証基盤)への対応遅れにより」だ。
Mozillaは、Mozillaが求める手順でGPKIが手続きを行うのを待っています。http://forums.firehacks.org/l10n/viewtopic.php?t=2638&start=0&... [firehacks.org]https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c10 [mozilla.org]
事態をさっくり説明してみると、Mozillaにルート証明書を渡すのにオレオレ証明書サイトを使った。つまり大元コメントの方法。アホちゃうかと。
ちなみにchromeは持ってる。日本国内に窓口があるかどうかが分かれ目だったりするのかな?
窓口と言うより、日本政府であるところからあらかじめ取得して組み込んでるってだけでしょ。当たり前の対応だよ。
俺様が日本政府を認証してやるから、申請書持ってこい。それまでは日本政府と認めない。とか言い出してるところに入ってるわけがない。
国が一民間団体に信用を裏づけしてもらうためにいちいち申請をしないといけないという事態を危惧するね。
勝手に決めた取り決めに従い日本国政府が申請してきたのを御大層に審査しないと日本国政府が信用できないという団体が作ったブラウザを使う必要用はないよ。少なくともの日本国内ではね。
だから日本政府が申請しなければいい。それで使えなければ使わなければいい。それだけだよ。
日本政府が日本政府であることを外国の一企業に申請して確認してもらう必要は全くない。
そういう言い方で処置して、どんないい事があるの?
証明する必要ないんじゃないの。日本国として、Firefoxは非推奨ってことでしょ。別に消えて困るブラウザでもないし。
だ か ら日本政府が申請したんだったらOKなんだって。日本政府を名乗ってるだけの申請だからアウトなんだって。振り込め詐欺と一緒。
気をつけろよ。リアルに税務署騙る振り込め詐欺流行ってるから。
なんでbugzilla上でやりとりしてんの?誰が申請者の身元を確認したの?アホじゃねーの
「(Firefoxの証明書ストアに既に入ってる)古いAPCAと今回の新しいAPCA2の相互でクロス署名してくれ、そうすればAPCA2を認証するまでの利便性も確保できるから」と親切なアドバイスまでしてるね。この4か月GPKIの中の連中は何をしてるんだか。
>go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので…え?「go.jpドメインなら1000円で買える証明書で十分」ってこと?逆じゃないの?
システム的な機能は同じなのに、値段に差があるのは、実体証明が付いているかどうかというところに違いがあります。go.jpはそもそも国の機関でないと取得できないので、go.jpを運用している時点で実体証明がなされていると見ることができます。そのため、追加で実体証明付きの高価な証明書を買う必要は無い、と言う事だと思います。
現実的な対応策としては、Windowsでフィンガープリントを確認することでしょう。IEかコントロールパネルの「インターネットオプション」→「コンテンツ」→「証明書」からたどっていけば、日本政府のルート証明書のフィンガープリントを見ることができます。(フレンドリ名がGPKI Application CA2 Rootという名前の奴でしょうかね?)
ダウンロードした証明書のフィンガープリントとこれが一致することを確認すればよいです。WindowsのFirefoxなら必ず見ることができますし、他のOSでも、Windowsマシンを一時的にでも入手することは難しくないでしょう。インターネット越しに入手したフィンガープリントは使わないほうがよいと思います。
今回はもっと単純で、Mozillaの中の人が書いている通り以前のGPKIのルート証明書(まだ期限切れになっていない)でクロス署名すればよかっただけ。ユーザーに証明書をインストールさせるという危険な慣習を覚えさせることなく安全に移行できたのに。
ベリサインもベリサインのルート証明書を別のルート証明ではなく同じルート証明を使って [symantec.com]で示しているから、ルート証明書が最初からインストールされていなければGPKIと同じような……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
まだ分かってないのか (スコア:2, 興味深い)
やむを得ず自己署名証明書やフィンガープリントをWeb配信する際には、他の認証局の証明書で保護されなければならない。なぜこれがわからないのか。
GPKIの自己署名証明書のページは平文だし、フィンガープリントのページは暗号化されているがGPKIの証明書で保護されている。GPKIの証明書をインストールするためのフィンガープリントを、GPKIの証明書で保護してどうしろというの?あほちゃうかと。
go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので、それぐらいの予算はあるだろ。
その点、LGPKIの自己署名証明書の配布ページ [lgpki.jp]は完璧。俺みたいに口煩い自治体職員がいるからなと思ったら、いつの間にかベリサインからLGPKIの証明書になっている。ホントに糞。
署名業者を神聖視するなYO (スコア:1)
フィンガープリントが官報(平成23年5月11日第5551号)で公示されているので「他の認証局の証明書で保護」しなくても問題ない
そもそも署名業者の信頼性はブラウザ配布者の胸先三寸で決められているというのに、署名業者を神聖視するのは止めないか?
ブラウザ組み込みのルート証明書の信頼性なんてプライバシーマークの信頼性と似たようなもの
Re: (スコア:0)
認証機関は天下りの温床であるから、モジラさまが管理すべきというなんらかの信念に基づいた主張なんだよ。
たぶん
信頼できるフィンガープリント (スコア:0)
フィンガープリントはe-gov [e-gov.go.jp]でも確認できるよ。
業者に頼らなくても、すでに信頼されているAPCAでAPCA2に署名すればいいだけなのにね。
Re: (スコア:0)
そのe-gov.go.jpをどうやって信頼するのかという話なんですが
Re: (スコア:0)
APCA(1)は信頼されています。
Re: (スコア:0)
GPKIの証明書をやむを得ずwebページで配布してしまっている、という問題もあるが、
根本はFirefoxの対応遅れだろ。
ルート認証局が増えるのに、対応の遅いWebブラウザがあるせいで、足を引っ張られている。
まず、ストーリのタイトルが悪い。
「GPKI(政府認証基盤)の対応遅れにより」
ではなく、
「GPKI(政府認証基盤)への対応遅れにより」
だ。
Re:まだ分かってないのか (スコア:5, 参考になる)
Mozillaは、Mozillaが求める手順でGPKIが手続きを行うのを待っています。
http://forums.firehacks.org/l10n/viewtopic.php?t=2638&start=0&... [firehacks.org]
https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c10 [mozilla.org]
Re:まだ分かってないのか (スコア:1)
事態をさっくり説明してみると、Mozillaにルート証明書を渡すのにオレオレ証明書サイトを使った。
つまり大元コメントの方法。アホちゃうかと。
ちなみにchromeは持ってる。
日本国内に窓口があるかどうかが分かれ目だったりするのかな?
Re: (スコア:0)
窓口と言うより、日本政府であるところからあらかじめ取得して組み込んでるってだけでしょ。
当たり前の対応だよ。
俺様が日本政府を認証してやるから、申請書持ってこい。それまでは日本政府と認めない。
とか言い出してるところに入ってるわけがない。
Re: (スコア:0)
国が一民間団体に信用を裏づけしてもらうためにいちいち申請をしないといけないという事態を危惧するね。
勝手に決めた取り決めに従い日本国政府が申請してきたのを御大層に審査しないと日本国政府が信用できないという団体が作ったブラウザを使う必要用はないよ。少なくともの日本国内ではね。
Re: (スコア:0)
Re: (スコア:0)
だから日本政府が申請しなければいい。それで使えなければ使わなければいい。それだけだよ。
日本政府が日本政府であることを外国の一企業に申請して確認してもらう必要は全くない。
Re: (スコア:0)
そういう言い方で処置して、どんないい事があるの?
Re: (スコア:0)
証明する必要ないんじゃないの。
日本国として、Firefoxは非推奨ってことでしょ。
別に消えて困るブラウザでもないし。
Re: (スコア:0)
だ か ら
日本政府が申請したんだったらOKなんだって。
日本政府を名乗ってるだけの申請だからアウトなんだって。
振り込め詐欺と一緒。
気をつけろよ。リアルに税務署騙る振り込め詐欺流行ってるから。
Re: (スコア:0)
なんでbugzilla上でやりとりしてんの?誰が申請者の身元を確認したの?アホじゃねーの
Re: (スコア:0)
「(Firefoxの証明書ストアに既に入ってる)古いAPCAと今回の新しいAPCA2の相互でクロス署名してくれ、そうすればAPCA2を認証するまでの利便性も確保できるから」と親切なアドバイスまでしてるね。
この4か月GPKIの中の連中は何をしてるんだか。
Re: (スコア:0)
>go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので
…え?「go.jpドメインなら1000円で買える証明書で十分」ってこと?逆じゃないの?
Re: (スコア:0)
システム的な機能は同じなのに、値段に差があるのは、実体証明が付いているかどうかというところに違いがあります。
go.jpはそもそも国の機関でないと取得できないので、go.jpを運用している時点で実体証明がなされていると見ることができます。
そのため、追加で実体証明付きの高価な証明書を買う必要は無い、と言う事だと思います。
現実的な対応策 (スコア:0)
現実的な対応策としては、Windowsでフィンガープリントを確認することでしょう。
IEかコントロールパネルの「インターネットオプション」→「コンテンツ」→「証明書」からたどっていけば、
日本政府のルート証明書のフィンガープリントを見ることができます。
(フレンドリ名がGPKI Application CA2 Rootという名前の奴でしょうかね?)
ダウンロードした証明書のフィンガープリントとこれが一致することを確認すればよいです。
WindowsのFirefoxなら必ず見ることができますし、他のOSでも、Windowsマシンを一時的にでも入手することは難しくないでしょう。
インターネット越しに入手したフィンガープリントは使わないほうがよいと思います。
Re: (スコア:0)
今回はもっと単純で、Mozillaの中の人が書いている通り以前のGPKIのルート証明書(まだ期限切れになっていない)でクロス署名すればよかっただけ。
ユーザーに証明書をインストールさせるという危険な慣習を覚えさせることなく安全に移行できたのに。
Re: (スコア:0)
ベリサインもベリサインのルート証明書を別のルート証明ではなく同じルート証明を使って [symantec.com]で示しているから、ルート証明書が最初からインストールされていなければGPKIと同じような……