パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に」記事へのコメント

  • by Anonymous Coward on 2013年12月11日 9時12分 (#2509820)

    やむを得ず自己署名証明書やフィンガープリントをWeb配信する際には、他の認証局の証明書で保護されなければならない。なぜこれがわからないのか。
    GPKIの自己署名証明書のページは平文だし、フィンガープリントのページは暗号化されているがGPKIの証明書で保護されている。GPKIの証明書をインストールするためのフィンガープリントを、GPKIの証明書で保護してどうしろというの?あほちゃうかと。
    go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので、それぐらいの予算はあるだろ。

    その点、LGPKIの自己署名証明書の配布ページ [lgpki.jp]は完璧。俺みたいに口煩い自治体職員がいるからなと思ったら、いつの間にかベリサインからLGPKIの証明書になっている。ホントに糞。

    • by Anonymous Coward on 2013年12月11日 13時00分 (#2510022)

      フィンガープリントが官報(平成23年5月11日第5551号)で公示されているので「他の認証局の証明書で保護」しなくても問題ない

      そもそも署名業者の信頼性はブラウザ配布者の胸先三寸で決められているというのに、署名業者を神聖視するのは止めないか?
      ブラウザ組み込みのルート証明書の信頼性なんてプライバシーマークの信頼性と似たようなもの

      親コメント
      • by Anonymous Coward

        認証機関は天下りの温床であるから、モジラさまが管理すべきというなんらかの信念に基づいた主張なんだよ。

        たぶん

      • フィンガープリントはe-gov [e-gov.go.jp]でも確認できるよ。

        業者に頼らなくても、すでに信頼されているAPCAでAPCA2に署名すればいいだけなのにね。

        • by Anonymous Coward

          そのe-gov.go.jpをどうやって信頼するのかという話なんですが

          • by Anonymous Coward

            APCA(1)は信頼されています。

    • by Anonymous Coward

      GPKIの証明書をやむを得ずwebページで配布してしまっている、という問題もあるが、
      根本はFirefoxの対応遅れだろ。
      ルート認証局が増えるのに、対応の遅いWebブラウザがあるせいで、足を引っ張られている。

      まず、ストーリのタイトルが悪い。
      「GPKI(政府認証基盤)の対応遅れにより」
      ではなく、
      「GPKI(政府認証基盤)への対応遅れにより」
      だ。

      • by Anonymous Coward on 2013年12月11日 9時33分 (#2509836)

        Mozillaは、Mozillaが求める手順でGPKIが手続きを行うのを待っています。
        http://forums.firehacks.org/l10n/viewtopic.php?t=2638&start=0&... [firehacks.org]
        https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c10 [mozilla.org]

        親コメント
        • by Anonymous Coward on 2013年12月11日 12時36分 (#2510002)

          事態をさっくり説明してみると、Mozillaにルート証明書を渡すのにオレオレ証明書サイトを使った。
          つまり大元コメントの方法。アホちゃうかと。

          ちなみにchromeは持ってる。
          日本国内に窓口があるかどうかが分かれ目だったりするのかな?

          親コメント
          • by Anonymous Coward

            窓口と言うより、日本政府であるところからあらかじめ取得して組み込んでるってだけでしょ。
            当たり前の対応だよ。

            俺様が日本政府を認証してやるから、申請書持ってこい。それまでは日本政府と認めない。
            とか言い出してるところに入ってるわけがない。

        • by Anonymous Coward

          国が一民間団体に信用を裏づけしてもらうためにいちいち申請をしないといけないという事態を危惧するね。

          勝手に決めた取り決めに従い日本国政府が申請してきたのを御大層に審査しないと日本国政府が信用できないという団体が作ったブラウザを使う必要用はないよ。少なくともの日本国内ではね。

          • by Anonymous Coward
            で、その申請者が本当の日本政府であることはどうやって証明するの?
            • by Anonymous Coward

              だから日本政府が申請しなければいい。それで使えなければ使わなければいい。それだけだよ。

              日本政府が日本政府であることを外国の一企業に申請して確認してもらう必要は全くない。

              • by Anonymous Coward

                そういう言い方で処置して、どんないい事があるの?

            • by Anonymous Coward

              証明する必要ないんじゃないの。
              日本国として、Firefoxは非推奨ってことでしょ。
              別に消えて困るブラウザでもないし。

          • by Anonymous Coward

            だ か ら
            日本政府が申請したんだったらOKなんだって。
            日本政府を名乗ってるだけの申請だからアウトなんだって。
            振り込め詐欺と一緒。

            気をつけろよ。リアルに税務署騙る振り込め詐欺流行ってるから。

        • by Anonymous Coward

          なんでbugzilla上でやりとりしてんの?誰が申請者の身元を確認したの?アホじゃねーの

        • by Anonymous Coward

          「(Firefoxの証明書ストアに既に入ってる)古いAPCAと今回の新しいAPCA2の相互でクロス署名してくれ、そうすればAPCA2を認証するまでの利便性も確保できるから」と親切なアドバイスまでしてるね。
          この4か月GPKIの中の連中は何をしてるんだか。

    • by Anonymous Coward

      >go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので
      …え?「go.jpドメインなら1000円で買える証明書で十分」ってこと?逆じゃないの?

      • by Anonymous Coward

        システム的な機能は同じなのに、値段に差があるのは、実体証明が付いているかどうかというところに違いがあります。
        go.jpはそもそも国の機関でないと取得できないので、go.jpを運用している時点で実体証明がなされていると見ることができます。
        そのため、追加で実体証明付きの高価な証明書を買う必要は無い、と言う事だと思います。

    • by Anonymous Coward

      現実的な対応策としては、Windowsでフィンガープリントを確認することでしょう。
      IEかコントロールパネルの「インターネットオプション」→「コンテンツ」→「証明書」からたどっていけば、
      日本政府のルート証明書のフィンガープリントを見ることができます。
      (フレンドリ名がGPKI Application CA2 Rootという名前の奴でしょうかね?)

      ダウンロードした証明書のフィンガープリントとこれが一致することを確認すればよいです。
      WindowsのFirefoxなら必ず見ることができますし、他のOSでも、Windowsマシンを一時的にでも入手することは難しくないでしょう。
      インターネット越しに入手したフィンガープリントは使わないほうがよいと思います。

    • by Anonymous Coward

      今回はもっと単純で、Mozillaの中の人が書いている通り以前のGPKIのルート証明書(まだ期限切れになっていない)でクロス署名すればよかっただけ。
      ユーザーに証明書をインストールさせるという危険な慣習を覚えさせることなく安全に移行できたのに。

    • by Anonymous Coward

      ベリサインもベリサインのルート証明書を別のルート証明ではなく同じルート証明を使って [symantec.com]で示しているから、ルート証明書が最初からインストールされていなければGPKIと同じような……

物事のやり方は一つではない -- Perlな人

処理中...