アカウント名:
パスワード:
GPKIが必要なのは確かなので、結局どーすりゃいいのさ。
Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。
自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。
詰まるところ、そこなんですよね。そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?
官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?
郵便みたいに、あらゆる手続きに無くてはならないサービスだから。どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、その企業が変な所に買収されないように、とか色々と考えなきゃならない。
と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。
そんな大層な話じゃなくて、総務省のB-CASや財務省のe-TAXと同じように、「国」の許認可や認証を使っての、天下り利権を構築したいだけなんじゃないですかね。経産省あたりが。うまく構築できたら、外郭団体なり経営実態のあやしい関係会社なりが日本国内の企業や団体のSSL鍵の認証を一手に仕切って(国が認めた以外のSSL鍵は使用禁止とかの法律で裏付けるようにして)、ボッタクリ価格で認証するようにするんですよ。
であれば、"利便性のために"他のルート認証局に認証してもらって、「なんか通常の認証局では保証さない日本政府独自の素敵なセキリティー」を提供する機関としても良いような
# 利便性の手間賃と、プレミアム()サービスの付加価値で、価格を高くする理由にもなるし
レビューでごたごたあった中に、「発行するキーのドメインはgo.jp限定にしました」、みたいな話がったよね。
理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。
日本国内にもルート証明機関はありますよね。サイバートラストとかセコムとか。GlobalSign は会社ごと買ってきたので、判断に迷うところですが。
海外のWebブラウザーなどのルート証明プリインストールする所を信頼できて認証局を信頼出来ないとする根拠もわからないなあ。
個人的にはルート証明書をオレオレ証明書で渡すような素人の認証局なんて信頼出来ない
米国など外国の企業等を信用しないわけではないけれど、依存しすぎないように自前でも、ということでしょう。
安全保障みたいな文脈から。
GPSを利用するけど、自前の衛星も打ち上げるべきとか、みたいな。
政府系でルート証明機関をやるべきかどうかは判断できないけど、そういう文脈での発想なら理解できる。
国内でよければセコムから証明書を買ってくればいいのでは。政府がやる意味が分からない。
国立情報学研究所が大学・研究機関向けに運用している証明機関UPKIはそうなってますね。セコムのルート証明機関の二次証明機関になっている。https://certs.nii.ac.jp/certs/ [nii.ac.jp]
結局のところ、GPKIなんて、セコム(entrust)とNEC、富士通、三菱、IBM、日立が組んで運用しているだけなので、国っても日本企業が運用してるのと変わりませんが。
それより設備全般、なかなかに豪華仕様になってるはずですが。
秘密鍵を生成するHSMには物理的に入れないようになってるはずだ。。施設を持つのは無駄のような気もするが、そこはいいのかね。。
気持ちはわかるんだけど、そもそもブラウザやOS自体が海外製だから、その中の一コンポーネントだけとって「海外は信用ならん」ってのはあまり実用性は高くない話だなぁ。
このコメントにぶら下がってるコメントを見ると、この件に対する偏りが見て取れるな……。
電子行政申請などのために、公的個人認証サービスなどへつなげるためにスタートしてるってのは、ググればすぐわかる事。コメントをみると、どうも一見技術的に見える方面は熱心に調べるけど、それ以外については理解を拒否ってるのが跳梁跋扈してる感じがあるな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
ご高説ごもっとだけど (スコア:0)
GPKIが必要なのは確かなので、結局どーすりゃいいのさ。
Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。
Re:ご高説ごもっとだけど (スコア:1)
自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。
つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:0)
詰まるところ、そこなんですよね。
そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?
「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?
官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、
と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?
Re: (スコア:0)
郵便みたいに、あらゆる手続きに無くてはならないサービスだから。
どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、
その企業が変な所に買収されないように、とか色々と考えなきゃならない。
と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。
Re:つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:2)
そんな大層な話じゃなくて、総務省のB-CASや財務省のe-TAXと同じように、「国」の許認可や認証を使っての、天下り利権を構築したいだけなんじゃないですかね。経産省あたりが。
うまく構築できたら、外郭団体なり経営実態のあやしい関係会社なりが日本国内の企業や団体のSSL鍵の認証を一手に仕切って(国が認めた以外のSSL鍵は使用禁止とかの法律で裏付けるようにして)、ボッタクリ価格で認証するようにするんですよ。
Re: (スコア:0)
であれば、"利便性のために"他のルート認証局に認証してもらって、
「なんか通常の認証局では保証さない日本政府独自の素敵なセキリティー」
を提供する機関としても良いような
# 利便性の手間賃と、プレミアム()サービスの付加価値で、価格を高くする理由にもなるし
Re: (スコア:0)
レビューでごたごたあった中に、「発行するキーのドメインはgo.jp限定にしました」、みたいな話がったよね。
Re: (スコア:0)
理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。
まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。
Re: (スコア:0)
日本国内にもルート証明機関はありますよね。サイバートラストとかセコムとか。
GlobalSign は会社ごと買ってきたので、判断に迷うところですが。
Re: (スコア:0)
海外のWebブラウザーなどのルート証明プリインストールする所を信頼できて認証局を信頼出来ないとする根拠もわからないなあ。
個人的にはルート証明書をオレオレ証明書で渡すような素人の認証局なんて信頼出来ない
Re: (スコア:0)
米国など外国の企業等を信用しないわけではないけれど、
依存しすぎないように自前でも、ということでしょう。
安全保障みたいな文脈から。
GPSを利用するけど、自前の衛星も打ち上げるべきとか、みたいな。
政府系でルート証明機関をやるべきかどうかは判断できないけど、
そういう文脈での発想なら理解できる。
Re: (スコア:0)
国内でよければセコムから証明書を買ってくればいいのでは。
政府がやる意味が分からない。
Re: (スコア:0)
国立情報学研究所が大学・研究機関向けに運用している証明機関UPKIはそうなってますね。
セコムのルート証明機関の二次証明機関になっている。
https://certs.nii.ac.jp/certs/ [nii.ac.jp]
Re: (スコア:0)
結局のところ、GPKIなんて、セコム(entrust)とNEC、富士通、三菱、IBM、日立が組んで運用しているだけなので、
国っても日本企業が運用してるのと変わりませんが。
それより設備全般、なかなかに豪華仕様になってるはずですが。
秘密鍵を生成するHSMには物理的に入れないようになってるはずだ。。
施設を持つのは無駄のような気もするが、そこはいいのかね。。
Re: (スコア:0)
気持ちはわかるんだけど、そもそもブラウザやOS自体が海外製だから、
その中の一コンポーネントだけとって「海外は信用ならん」ってのは
あまり実用性は高くない話だなぁ。
Re: (スコア:0)
このコメントにぶら下がってるコメントを見ると、この件に対する偏りが見て取れるな……。
電子行政申請などのために、公的個人認証サービスなどへつなげるためにスタートしてるってのは、ググればすぐわかる事。
コメントをみると、どうも一見技術的に見える方面は熱心に調べるけど、それ以外については理解を拒否ってるのが跳梁跋扈してる感じがあるな