アカウント名:
パスワード:
日本の公的機関サイトへアクセスしたら、ブラウザが「政府認証基盤により発行された証明書を信用しますか?」と質問してくる、という話でしょ。さして変な挙動とは思えないんだけど。(まあ意図が分かり難い警告画面だけどさ)
ベリサイン発行の証明書とかは、初期設定で既に「信頼して、二度と警告を出さない」と設定されているだけで、本来ならベリサイン発行の証明書でも質問してくるのが正しい挙動でしょ。実際、初期登録のリストを消せばそういう挙動になる。
ユーザの中には「日本政府のお墨付きなんて信用できない!」って言って毎回確認しようとする奇特な人も、もしかしたらいるかも知れない。
電子証明書の仕組を理解していれば問題ないわけで、どちらかというと問題は、仕組を理解していない人が多過ぎることなんじゃないの。
日本の公的機関サイトを騙るサイトが政府認証基盤の証明書による認証を受けることはできないでしょう。日本の公的機関サイトを騙るサイトが政府認証基盤の証明書を騙る証明書による認証を受けることはできるでしょうけど。
それをどうやって見分けるの?
さあ? 証明書をよく読む…とか?
違うね。
政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。どちらも挙動はかわりませんよね。だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。一般の人にフィンガープリント見ろとか無理ありすぎだしね。
> 電子証明書の仕組を理解していれば問題ないわけで、> どちらかというと問題は、仕組を理解していない人が> 多過ぎることなんじゃないの。その通りですね。
>政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、>本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。>どちらも挙動はかわりませんよね。
挙動が変わらない理由は、ブラウザは「真贋」ではなく「信用に足るか否か」を確認しているからでしょ。中間証明書発行業者がハックされて「本物のお墨付きの偽証明書」が発行された事例は、実際あるし。信用できない本物の証明書発行機関、というものも存在する。「信用に足るか否か」は個人の裁量の範囲でしょ。
>だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。
そ
半端な知識では保身できないいい例だねぇ。
中間証明書のクラックの件は知ってるけど、dnsの危険性はご存じでない?検索結果が正しくてURLも正しくても、接続する先の端末が正しいとは限りません。
つまり、公式サイトに行ったつもりが偽装サーバに繋いでて、そんなところからダウンロードした証明書は偽物なわけですよ。公式サイトが公式であるかの証明はサーバ証明書で行うけど、サーバ証明書は公式サイトからダウンロードするって、本末転倒ですよね。
証明書の手動インストールは、一般人にはかえって危険だと私は思うんですけどね。ご指摘の中間証明書の漏洩に対応するために、削除方法は知っとくべきですけど。
ちなみにブラウザが判断しているのは、信用に足るかどうかでなく、真贋ですよ。しかるべき手続きを受けてインストールされているCAで署名されているかどうか。それだけです。だから中間証明がクラックされると危険。
自己レス。読み返してて気づいたけど、証明書と認証局ごっちゃにしてる。ほんとごめん。私が書いた「中間証明」「中間証明書」は、正しくは中間認証局。
サイトのURLが信用できたって、そのURLを問い合わせてDNSから返ってきたIPアドレスは信用出来ないでしょ。それが信用できるというなら証明書なんか必要ない。
中間者攻撃があるからURLが正しいからといって正しい証明書といえるかはわからないっていうのがもとコメのいいたいことだろ。URLが正しければ内容が正しいならそもそもSSLなんていらない。
別途信用のある経路(官報)などでフィンガープリントを配っておいて、信用のない経路で中間証明書を配って両者のフィンガプリントが一致することで信頼を担保するしかないわけ。
そんな手間隙かかることを普通の人ができないからブラウザーメーカーにGKPIの中間証明書をいれてもらう協力を政府が依頼しているのだけどMozillaは協力してくれないってだけ。
Mozillaは協力してくれないって?依頼手続きが間違っているのでやり直してとMozillaがコメントしたのが2013-08-08 04:00:14 JST。その後、gpki.go.jpさんのコメントは無し。https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c7 [mozilla.org]
政府が民間団体に承認してもらわないといけないというのがおかしいというのではじまったのがGPKIなのに、他の民間承認機関に承認してもらわないと認めないなんていわれても対応できないでしょ。直接Mozilla財団に書面とか日本政府とわかる形で交渉するしかないのでは?
政府の存在保証を一民間団体がやったほうが安全だからって突っ返すほうがどうかしている。
承認とかじゃなく単なる書類不備に見えるここ埋めて再提出、って突っ返してるテストURL用意しろ、とか不備の指摘も妥当と思う別に政府の存在を否定してるわけじゃない
だから、申請者が政府かどうかどうやって確認するの?私は政府の一員です、って言ったらそれを信用するわけ?電話番号とか、インターネット以外の情報も要るだろ、常識的に考えて。
当の政府は民間団体に承認してもらったことを喧伝しているよ。
政府認証基盤(GPKI)アプリケーション認証局では、「WebTrust for CA (注)(Certification Authority)」の規準に基づく検証報告書を取得しました。【中略】(注)WebTrust for CAとは、米国公認会計士協会(AICPA)及びカナダ勅許会計士協会(CICA)が定めた、認証局についての業界最高水準の規準です。
存在保証というか、「Firefoxは日本政府のサイトに対応していません」というだけの話じゃないかと。
例えば「省庁のページがIE6にしか対応していないからFirefoxでは見れない」とかと似たような状況。
# 「自力で証明書を入れたらFirefoxでも大丈夫」、というのは「FirefoxにIE6ページを見れるプラグインを入れたらOK」と似たような話# そんなプラグインがあるのか知らんけど
「IE6にしか~」だと、そんなマイナーな技術に依存したページにしないでよ、日本政府、と突っ込みようもあるけど、今回のは業界標準なオープンな技術だから、そんなに非難されるいわれはない。
もしかして、前回はGPKIを普及させるために日本政府側が頭を下げて手間暇掛けたけど、ずっとそのコストをかけ続けるつもりはない、ブラウザ側が勝手に対応しろ、みたいな方針転換だったりして。
いや、本来はモジラ側が証明書取得を申請して取得するべきでそんな申請を政府がやってること自体が異常事態。
これが国連の組織で、国際的な条約に基づいて設置された機関にたいして申請しているとかならまだしも・・・。
どこの殿様だよ
国民にサービスを提供するために必要な手続きをとるのが公務員の仕事だろ
少なくともWindowsに関してはIEとchromeが対応しているから、新たなコストをかけてまでFireFoxに対応しなくてもいいんじゃね、という判断は別にありじゃないの?
というか、IEやchromeが対応できて、FireFoxが対応できない理由ってなんなの?
ばかばかしい
> 一般の人にフィンガープリント見ろとか無理ありすぎだしね。
じゃ、一般の人が安全にインターネットを使うのなんて無理だね。いいんじゃない、そういう人たちはマルウェアかなんか拾って踏み台にでもなってれば。
要するに、政府としては政府なんだから信じろよと言ってるわけだけど、そもそもその発言を確認できるだけの根拠を誰もが持っている状態にはなっていないから、オレオレ証明書と同じになってしまっている、みたいな?
そいう事やね。政府としては政府が保証する証明書を作ったので入れてよ。ってことだったが、その証明書を証明してみろ!と言われたのでどうするかと言うことだね。前回同様にやるだろうから無意味に祭りにしないで待ってればいいだけ、WEBを使いたかったらちゃっちゃと自分で登録すればいい。
そもそも論で言えば日本政府に日本政府であることを俺様が信用している誰かに証明してもらえ言うほうが木違いじみている。モジラが日本政府に直接証明書の発行を申請して、もらった証明書を登録するのが手順であろう。それが国家権力と言うものであり、本来なら国家権力を侵害する行為なのだからモジラと日本で戦争になってもおかしくない。最終的には映画「モジラvs自衛隊」を作成するべきだろう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
そんなに変なこと? (スコア:0, おもしろおかしい)
日本の公的機関サイトへアクセスしたら、ブラウザが
「政府認証基盤により発行された証明書を信用しますか?」
と質問してくる、という話でしょ。
さして変な挙動とは思えないんだけど。
(まあ意図が分かり難い警告画面だけどさ)
ベリサイン発行の証明書とかは、初期設定で既に
「信頼して、二度と警告を出さない」と設定されて
いるだけで、本来ならベリサイン発行の証明書でも
質問してくるのが正しい挙動でしょ。
実際、初期登録のリストを消せばそういう挙動になる。
ユーザの中には
「日本政府のお墨付きなんて信用できない!」
って言って毎回確認しようとする奇特な人も、
もしかしたらいるかも知れない。
電子証明書の仕組を理解していれば問題ないわけで、
どちらかというと問題は、仕組を理解していない人が
多過ぎることなんじゃないの。
Re:そんなに変なこと? (スコア:1)
日本の公的機関サイトを騙るサイトにアクセスしたら、ブラウザが
「政府認証基盤により発行された証明書を信用しますか?」
と質問してくる、という話だよ。
> 電子証明書の仕組を理解していれば問題ないわけで、
> どちらかというと問題は、仕組を理解していない人が
> 多過ぎることなんじゃないの。
全く同意するよ。
Re: (スコア:0)
日本の公的機関サイトを騙るサイトが政府認証基盤の証明書による認証を受けることはできないでしょう。
日本の公的機関サイトを騙るサイトが政府認証基盤の証明書を騙る証明書による認証を受けることはできるでしょうけど。
Re: (スコア:0)
それをどうやって見分けるの?
Re: (スコア:0)
さあ? 証明書をよく読む…とか?
Re: (スコア:0)
違うね。
政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、
本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。
どちらも挙動はかわりませんよね。
だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。
一般の人にフィンガープリント見ろとか無理ありすぎだしね。
> 電子証明書の仕組を理解していれば問題ないわけで、
> どちらかというと問題は、仕組を理解していない人が
> 多過ぎることなんじゃないの。
その通りですね。
Re: (スコア:0)
>政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、
>本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。
>どちらも挙動はかわりませんよね。
挙動が変わらない理由は、ブラウザは「真贋」ではなく
「信用に足るか否か」を確認しているからでしょ。
中間証明書発行業者がハックされて「本物のお墨付きの偽証明書」
が発行された事例は、実際あるし。
信用できない本物の証明書発行機関、というものも存在する。
「信用に足るか否か」は個人の裁量の範囲でしょ。
>だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。
そ
Re: (スコア:0)
半端な知識では保身できないいい例だねぇ。
中間証明書のクラックの件は知ってるけど、dnsの危険性はご存じでない?
検索結果が正しくてURLも正しくても、接続する先の端末が正しいとは限りません。
つまり、公式サイトに行ったつもりが偽装サーバに繋いでて、そんなところからダウンロードした証明書は偽物なわけですよ。
公式サイトが公式であるかの証明はサーバ証明書で行うけど、サーバ証明書は公式サイトからダウンロードするって、本末転倒ですよね。
証明書の手動インストールは、一般人にはかえって危険だと私は思うんですけどね。
ご指摘の中間証明書の漏洩に対応するために、削除方法は知っとくべきですけど。
ちなみにブラウザが判断しているのは、信用に足るかどうかでなく、真贋ですよ。
しかるべき手続きを受けてインストールされているCAで署名されているかどうか。それだけです。
だから中間証明がクラックされると危険。
Re: (スコア:0)
自己レス。
読み返してて気づいたけど、証明書と認証局ごっちゃにしてる。
ほんとごめん。
私が書いた「中間証明」「中間証明書」は、正しくは中間認証局。
Re: (スコア:0)
サイトのURLが信用できたって、そのURLを問い合わせてDNSから返ってきたIPアドレスは信用出来ないでしょ。
それが信用できるというなら証明書なんか必要ない。
Re: (スコア:0)
中間者攻撃があるからURLが正しいからといって正しい証明書といえるかはわからないっていうのがもとコメのいいたいことだろ。
URLが正しければ内容が正しいならそもそもSSLなんていらない。
別途信用のある経路(官報)などでフィンガープリントを配っておいて、信用のない経路で中間証明書を配って両者のフィンガプリントが
一致することで信頼を担保するしかないわけ。
そんな手間隙かかることを普通の人ができないからブラウザーメーカーにGKPIの中間証明書をいれてもらう協力を政府が依頼してい
るのだけどMozillaは協力してくれないってだけ。
Re:そんなに変なこと? (スコア:1)
そんな手間隙かかることを普通の人ができないからブラウザーメーカーにGKPIの中間証明書をいれてもらう協力を政府が依頼しているのだけどMozillaは協力してくれないってだけ。
Mozillaは協力してくれないって?
依頼手続きが間違っているのでやり直してとMozillaがコメントしたのが2013-08-08 04:00:14 JST。
その後、gpki.go.jpさんのコメントは無し。
https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c7 [mozilla.org]
Re: (スコア:0, すばらしい洞察)
政府が民間団体に承認してもらわないといけないというのがおかしいというのではじまったのがGPKIなのに、
他の民間承認機関に承認してもらわないと認めないなんていわれても対応できないでしょ。
直接Mozilla財団に書面とか日本政府とわかる形で交渉するしかないのでは?
政府の存在保証を一民間団体がやったほうが安全だからって突っ返すほうがどうかしている。
Re:そんなに変なこと? (スコア:1)
承認とかじゃなく単なる書類不備に見える
ここ埋めて再提出、って突っ返してる
テストURL用意しろ、とか不備の指摘も妥当と思う
別に政府の存在を否定してるわけじゃない
Re: (スコア:0)
だから、申請者が政府かどうかどうやって確認するの?私は政府の一員です、って言ったらそれを信用するわけ?電話番号とか、インターネット以外の情報も要るだろ、常識的に考えて。
Re: (スコア:0)
当の政府は民間団体に承認してもらったことを喧伝しているよ。
Re: (スコア:0)
存在保証というか、「Firefoxは日本政府のサイトに対応していません」というだけの話じゃないかと。
例えば「省庁のページがIE6にしか対応していないからFirefoxでは見れない」とかと似たような状況。
# 「自力で証明書を入れたらFirefoxでも大丈夫」、というのは「FirefoxにIE6ページを見れるプラグインを入れたらOK」と似たような話
# そんなプラグインがあるのか知らんけど
「IE6にしか~」だと、そんなマイナーな技術に依存したページにしないでよ、日本政府、と突っ込みようもあるけど、
今回のは業界標準なオープンな技術だから、そんなに非難されるいわれはない。
もしかして、前回はGPKIを普及させるために日本政府側が頭を下げて手間暇掛けたけど、
ずっとそのコストをかけ続けるつもりはない、ブラウザ側が勝手に対応しろ、みたいな方針転換だったりして。
Re: (スコア:0)
いや、本来はモジラ側が証明書取得を申請して取得するべきで
そんな申請を政府がやってること自体が異常事態。
これが国連の組織で、国際的な条約に基づいて設置された機関にたいして申請しているとかならまだしも・・・。
Re: (スコア:0)
Re: (スコア:0)
どこの殿様だよ
国民にサービスを提供するために必要な手続きをとるのが公務員の仕事だろ
Re: (スコア:0)
少なくともWindowsに関してはIEとchromeが対応しているから、新たなコストをかけてまでFireFoxに対応しなくても
いいんじゃね、という判断は別にありじゃないの?
というか、IEやchromeが対応できて、FireFoxが対応できない理由ってなんなの?
Re: (スコア:0)
ばかばかしい
Re: (スコア:0)
本物のGPKIには電話がないか、Mozilla側の要請文の英語が読めなかった、っつーことだし。
# あいつがルパンだーってことにしてもう一回最初から手続き始めるのが一番傷浅くて済んだのに。プププ
Re: (スコア:0)
> 一般の人にフィンガープリント見ろとか無理ありすぎだしね。
じゃ、一般の人が安全にインターネットを使うのなんて無理だね。
いいんじゃない、そういう人たちはマルウェアかなんか拾って
踏み台にでもなってれば。
Re: (スコア:0)
要するに、政府としては政府なんだから信じろよと言ってるわけだけど、そもそもその発言を確認できるだけの根拠を誰もが持っている状態にはなっていないから、オレオレ証明書と同じになってしまっている、みたいな?
Re:そんなに変なこと? (スコア:1)
そいう事やね。政府としては政府が保証する証明書を作ったので入れてよ。ってことだったが、
その証明書を証明してみろ!と言われたのでどうするかと言うことだね。前回同様にやるだろうから
無意味に祭りにしないで待ってればいいだけ、WEBを使いたかったらちゃっちゃと自分で登録すればいい。
そもそも論で言えば日本政府に日本政府であることを俺様が信用している誰かに証明してもらえ言うほうが木違いじみている。モジラが日本政府に直接証明書の発行を申請して、もらった証明書を登録するのが手順であろう。それが国家権力と言うものであり、本来なら国家権力を侵害する行為なのだからモジラと日本で戦争になってもおかしくない。最終的には映画「モジラvs自衛隊」を作成するべきだろう。
Re: (スコア:0)
政府認証基盤により発行された「と称する」証明書を信用しますか、が抜けてる。
ブラウザは、その自称が本当かどうかを調べる技術的な方法を持っていない。
もう少し細かく言うと、
1. 「政府認証基盤により発行されたと称する証明書」を取ってくる。
2. その証明書を信用する、とブラウザを設定する。
の2段階。
普通は、ブラウザメーカーが1を慎重にやって、「~と称していて、確かに本物の証明書」だと確認した上で、
2はデフォルトで終わった状態になってる。
今回の場合は、1からユーザが自分でやらないといけない。