パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに」記事へのコメント

  • 世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてる
    https://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org]
    けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!
    正しいやり方をしようとしない日本の政府機関が悪い!!!

    そう突っ張るのは自由ですよ。
    ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。

    でも困るのってユーザじゃないの?
    例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?
    一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているの

    • by Anonymous Coward

      そうは言うがな、大佐。
      GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。
      そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。
      日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。

      少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?

      • by Anonymous Coward

        Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。
        もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。

        日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。

        #そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが
        #本質はそこじゃないのでスルーする

        • Re: (スコア:2, すばらしい洞察)

          by Anonymous Coward

          例えば、他国がGPKIみたいなことをやったとする。
          24時間以内に対応できない状況で。
          それをFirefoxにねじ込んできたら、迷惑だと思わん?
          「お前の国の中だけでやってろ」って。

          そもそもがさ、GPKIなんて必要ないものじゃん。
          NASA見てみ? COMODOだぜ?

          https://www.nasa.gov/ [nasa.gov]

          日本の公的機関だって、別にCOMODOでも何も困らんわけで。
          ようは、「証明書に金払うのが嫌で、ケチって自前認証局を立てることにした」のがGPKIでしょ。
          維持費を甘く見てたツケを払わされてるわけだ、今

          • そら確かに迷惑だが、そーじゃなくて、24時間以内に対応ができないって言ってるの、Mozillaだけじゃねーの?って話よ。
            このまんまじゃ、ルールも監査制度も知らねえ、そんなことよりMozillaが指摘したらら24時間以内に対応しろってそんな条件になってるけど、マジMozillaそれでいいんか?それMozillaの基本ミッションにも障害になってしまうんじゃね?って事よ。

            政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてるわけよ。さっき見たらPwCじゃなくEYになってたど、EYはPwCよりもこの分野で実績あるみたいだからこっちのがよいはず。
            で、他じゃこれで十分だっていってるわけよ。
            たとえばMSはこう

            http://aka.ms/RootCert [aka.ms]

            簡単に言うと、webtrustも含む認めたルールに従った監査を正しく受けたレポートを添えて申請せよってだけだぜ。
            んで、失効に関する事もきっちり

            identifies an Authenticode certificate as either containing a deceptive name or as being used to promote malware or unwanted software, Microsoft will contact the responsible CA and request that is revoke the certificate.

            実際に使用された場合に限定して書いてある。
            これが普通でしょ。そらま、セキュリティインシデントの定義には、最終的にマイクロソフトが問題と考えるそのほかの理由、みたいな要件も入ってるけど、こんな風にポンポンと行使したりしない。

            >そもそもがさ、GPKIなんて必要ない

            まぁこれはわかる。
            わかるけど、流石にケチって立てたわけじゃないで。
            サイバー攻撃などの動向、自治体閉鎖網の動向とかみると、GPKIがあるべきだというのもまぁ一理あるんでないの。最近、大手認証局の不正発覚なんてのもあるし。

            親コメント
            • by Anonymous Coward

              政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてる

              じゃあ、やっぱり#3369611 [srad.jp]が原因か?
              監査で認証された対応をしない、と運用担当者が言ってしまったら、「認証した奴、出てこい」状態になるだろう。

            • by Anonymous Coward

              mozilaのルート証明書には既にいくつも登録されてるんだからそれら他の認証局は同じ条件をクリアしてるでしょ。

            • by Anonymous Coward

              そもそも「政府系ルート証明書」ってどうなの?
              インターネット発祥の地でも米国政府っぽい証明書は見当たらないんだけど。

              • by Anonymous Coward

                Firefoxに組み込まれてるのでいったら、EC-ACCはカタルーニャ自治政府の証明書で、CFCAは中国人民銀行の証明書ですよ

                #未だにWoSignとか残ってんのかよ..

              • by Anonymous Coward

                いまFirefox58のCertificateManagerを見てるけど
                台湾、トルコ、ギリシャ、オランダの政府関係と思われる証明局証明書は入ってるね

              • by Anonymous Coward

                ApplicationCA2 Rootっつー意味分からん名前は割とよくあることなのかな?
                EC-ACCがカタルーニャなんとかかんとかの略、
                CFCAは中国なんとかかんとかの略の可能性はあるけど

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...