パスワードを忘れた? アカウント作成

Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される」記事へのコメント

  • by Anonymous Coward on 2018年02月08日 11時21分 (#3358076)

    認証局の信頼性を評価するのはサービス提供者と利用者であるべきで、ブラウザごときが口を出す話じゃない。
    サービス提供者が本当にSymanticを信用できないと感じたなら、いつでも変更できる。
    利用者は、サービス提供者に別の認証局を使うよう要望することができる。
    しかし、そのような動きは一切ない。
    なのにGoogleは独りよがりの判断で強行するという。利用者は馬鹿で、判断能力はないというわけだ。

    といってもサービス提供者としては証明書を入れ替えざるを得ないわな。無駄なコストだ。

    理知的なMicrosoftは追随しないだろうが(正しい)、MozillaはGoogleの尻馬に乗っかるようなこと言ってたな。まあMozillaだしな。

    ここに返信
    • 今回の件は証明書業界のトップリーダーだったSymantecが通常ではない確認方法で証明書を発行したことに端を発します。
      DVであればドメインの所有者であることを確認し、OV、EVであれば申請団体が実在することを確認しますが、その過程を個人で知ることはできないので、Googleや追随するMozila等ブラウザを開発する団体が告発し対応していくのはいいことだと思いますし、当たり前のことだと思います。

      特に可能性としてはIntelという団体名のEVを使ったフィッシングサイトが作られたかもしれないところに問題があり、仮に詐欺被害等があった場合のことを考えると、事前に信頼性の置けない証明書に対しては信用しないという措置をブラウザにかけておくのは当然でしょう。

      • by Anonymous Coward

        可能性としてあり得てもっと怖いのはコードサイニング証明書の発行ですよね。
        今インストールしようとしているこのインストーラー、本当にGoogle/Adobe/Microsoft/Apple/Mozilla製のもの?なんてことになったりしたら…

    • by Anonymous Coward on 2018年02月08日 15時08分 (#3358215)

      > 理知的なMicrosoftは追随しないだろうが(正しい)
      理知的とかそんな曖昧な基準のわけがないでしょうに

      Microsoftだって、自社の基準に従わないものは排除してますよ
      http://www.itmedia.co.jp/enterprise/articles/1708/10/news046.html [itmedia.co.jp]
      # WoSignは、それなりに影響があったはず。

      今回は影響度と過去のMSのプログラムにVerisignの証明書を使っているものがあるので
      無効化できてないだけじゃないか?

    • by Anonymous Coward

      この話の問題と原因がわからないなら黙ってればいいのに…

    • by Anonymous Coward

      > なのにGoogleは独りよがりの判断で強行するという。利用者は馬鹿で、判断能力はないというわけだ。

      言い方が悪意に満ち満ちているが、実際その通りじゃない? としか言い様が無い。
      利用者の内、認証局の信頼性を一々評価している人が何割いると思っているのかね。

      > といってもサービス提供者としては証明書を入れ替えざるを得ないわな。無駄なコストだ。

      ほほう、不正しまくってる認証局やめるのが無駄なコストなわけか。
      素晴らしい理論だ。君がセキュリティ関連に一切関わらない事を切に祈る。

      • by Anonymous Coward

        利用者の内、認証局の信頼性を一々評価している人が何割いると思っているのかね。

        評価をまかせていているから利用者は気にしなくていいのですが?

        認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?

        • by Anonymous Coward

          > 評価をまかせていているから利用者は気にしなくていいのですが?
          > 認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?

          ?? 意味がわからない。
          認証局をどこでもOKにしないのがChromeの対処であって、それに同意しているんだが。

          んで、利用者が気にしなくていいなんて一言も言っていない。
          実際問題気にしていない利用者が大半だろう、とは言っているけど。
          全ての利用者が気にするのが本来だよ。でも、そうはなっていないしならないだろう。
          だからChromeの対処も仕方なし、と思っている。

          • by Anonymous Coward

            認証局をどこでもOKにしないのがChromeの対処であって、それに同意しているんだが。

            じゃぁ「利用者の内、認証局の信頼性を一々評価している人」じゃないですか。

            んで、利用者が気にしなくていいなんて一言も言っていない。

            いや、#3358127に書きました。

            • by Anonymous Coward on 2018年02月08日 18時31分 (#3358337)

              横から失礼だけど、少なくとも建前上は、「利用者が気にしなくていい」で正解。
              ってか、そんなことも知らんで書いてるのか・・・
              利用者が気にするようなフローであれば、なんのためのWebTrust for CAなのかとw

              JPNICのドキュメントでも読め
              https://www.nic.ad.jp/ja/basics/terms/ca_browser_forum.html [nic.ad.jp]
              以下引用
               ユーザーはおのおのの認証局を信用すべきかどうかを確認する
               必要がないという特徴があります

              基本的にWebTrust for CAはCA/Bに基づいて作られているはず
              https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.5.4.pdf [cabforum.org]
              WebTrust for CAにパスしないとどのブラウザにも組み込んでもらえません。

              そういう枠組みなのよw

              なお、Symantecも他社がやらかしたときは、こんなにかっこいいことを言っているぞ
              以下引用
               DigiNotar のケースに見られるように認証局自体が信頼できないと判断されると、
               ブラウザやOS、その他のアプリケーションで、ルート証明書が無効となり、
               その認証局が発行した証明書はすべて失効扱いにされてしまいます。

              https://www.jp.websecurity.symantec.com/welcome/pdf/wp_fakesslcert_inc... [symantec.com]

            • by Anonymous Coward

              > じゃぁ「利用者の内、認証局の信頼性を一々評価している人」じゃないですか。

              ああ、悪い。
              > 評価をまかせていているから利用者は気にしなくていいのですが?

              > 評価をまかせていているから利用者は気にしなくていいのです「か」?
              って見間違えてた。
              何か意味通らないなー、と。

              > 認証局はどこでもOKにしてたら証明書の意味なくなるのわかりませんか?
              しかしこれに関しては意味わからないぞ?
              元の#3358112でもChromeの対処を否定した覚えは全くないが。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...