パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに」記事へのコメント

  • Baseline Requirements (スコア:3, 参考になる)

    by Anonymous Coward

    あー、これか。

    Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates [cabforum.org][※PDF]

    4.9.1.1. Reasons for Revoking a Subscriber Certificate

    The CA SHALL revoke a Certificate within 24 hours if one or more of the following occurs:
            :
    9. The CA is made aware that the Certificate was not issued in accordance with these Requirements or the CA’s Certificate Policy or Certification Practice Statement;

    証明書の非準拠を認識した後、24時間以内に失効させられなきゃCAを

    • by Anonymous Coward

      Mozillaがそう言ってるだけだろそれ。

      そもそも申請する側は、監査を受けて問題が無いとして申請しているわけで、非準拠を認識はしてないんじゃないの。単なる見解の相違。
      それでもそう言うなら対応するから少し待って、って言ったら、24時間以内じゃないからもうやめた、なんて姿勢がまともなんかね。

      前あった話みたいに、google.comの証明書を作ってましたとかそう言う実際に問題が出てる話ならまぁわかるよ。
      でもさ、見解の相違レベルでMozillaが言ったあと24時間で対応しなきゃ駄目、ってそりゃないでしょ。

      政府だって昔jbeef先生に指摘されたこと
      https://web.archi [archive.org]

      • by Anonymous Coward

        そんな話じゃない。

        元々、発行済みの非準拠の証明書は失効させるべきだ、と言われたのに対し、
        そのうち期限切れで失効するから、そうなったら問題ないよね、みたいな回答したのが原因。

        非準拠を認識したのであれば失効させるというBRに対し、こんな回答したらそりゃ守る気ないだろと認識されるだろう。

        • by Anonymous Coward

          だから、そんな話じゃないって。非準拠って主張したのMozillaだけでしょ?
          それって、24時間以内に対応しなきゃいけないインシデントなの?Mozillaがそう言ってるだけでしょ?って事よ。

          #タレコミにあるブログの翻訳はかなり恣意的なんで丸呑みしないほうがいいと思うぞ
          #筆者自分でも最初に理解してないって注意書きしてくれてるんだからさ

          上のコメントに上がってる「4.9.1.1. Reasons for Revoking a Subscriber Certificate」には失効させなきゃいけない理由が羅列されている。
          その具体的に羅列された方には該当するような話はない。

          そのなかで、今までの行動につじつま

          • by Anonymous Coward

            内容に問題のある証明書が結構ある [crt.sh]んですが、それを正す必要はないと?

            すくなくとも、受け入れ側としてはコレらに懸念があるから解決しろ言われてんのに放置っていってるんじゃ、そりゃ受け入れ側は受け入れられないって言うでしょ。

            あと、別にまとめ読んだんじゃなくて、メールのやりとり見ての感想だからね。

            • by Anonymous Coward

              だからそれ、4.9.1.1. Reasons for Revoking a Subscriber Certificateの具体的な項目に引っかかってないでしょうって話をしているんだけども。

              結局Mozillaが独断で問題と言っているだけでしょうが。
              あなたがリンクを張ったページを見ると、MozillaのCA認証ストアとそれを利用している派生の環境以外では、概ね承認されてることも読み取れるよ。

              #そんな風に読み取れるのに「まとめ読んだんじゃない」って明らかにアレだけど
              #ちょっと面の皮厚すぎつーか、目的がわからんつーか

              • by Anonymous Coward on 2018年03月01日 20時59分 (#3369688)

                だまされる人がいると困るので。

                Baseline Requirements 1.5.4:
                > 4.9.1.1. Reasons for Revoking a Subscriber Certificate
                > The CA SHALL revoke a Certificate within 24 hours if one or
                > more of the following occurs:
                ...
                > 9. The CA is made aware that the Certificate was not issued in
                > accordance with these Requirements or the CA's Certificate
                > Policy or Certification Practice Statement;

                #3369654 crt.shへのリンク:
                > BR certificates with organizationName must include either localityName or stateOrProvinceName

                戻ってきて、Baseline Requirements 1.5.4:
                > 7.1.4.2. Subject Information – Subscriber Certificates
                ...
                > f. Certificate Field: subject:stateOrProvinceName (OID: 2.5.4.8)
                > Required if the subject:organizationName field,
                > subject:givenName field,
                > or subject:surname field
                > are present and
                > subject:localityName field is absent.

                Subject の organizationName があるのに subject の stateOrProvinceName も
                subject の localityName もない証明書は、 Baseline Requirements の規定に準拠していません。
                なので、 4.9.1.1. の 9. に該当し、失効されるべきです。

                親コメント
              • by Anonymous Coward

                それらは全部Mozillaが主張しているだけって話しかしてないんだけど。その張ってあるのもメールのリンクのコピペなだけじゃん。
                手を変え品を変え強弁して、挙げ句のはてにだまされないように、って勘弁してよ。ほんと何が目的なの。過剰な弁護はコミュニティに死をもたらすよ。

                あんたがコタツでゲスパーして妄想した結果よりも、厳然たる事実としてEYによって実地の監査が通ってること、それを根拠に各社は承認をしてるが、Mozillaだけが拒否しているという動かしがたい事実をまず認識してよ。

                んで、それを覆すなら、従来証明書に疑義がある時、MozillaはCANICがやらかしたときみたいに他社に対しても働きかけをするのが慣例でしょ?そして各社協調するじゃん。
                さらに言えば、まずEYが監査した所はもう一度リジェクトして再監査しなきゃなんないでしょ。それこそ重大なポリシー違反で、ルート証明書が信用できないようなもんなんだから。何でしないのよ。

              • by Anonymous Coward

                煽りが多い
                極論を持ち出す
                0点

              • by Anonymous Coward on 2018年03月01日 23時21分 (#3369751)

                臆病者なのにプラスモデされて嬉しいので誰でも確認できる情報を蛇足しておくと、

                crt.sh (運営しているのは Comodo の人: Mozilla Foundation は無関係):
                https://crt.sh/?cablint=10&iCAID=1419&minNotBefore=2013-01-01 [crt.sh]

                上記のうち 1 枚を拾うと:
                https://crt.sh/?id=287667889&opt=cablint [crt.sh]

                Subject の commonName に書いてある https://bft2.maff.go.jp/ [maff.go.jp] にアクセスすると証明書を誰でも見られますが、
                その証明書を見ると
                > Subject の organizationName があるのに subject の stateOrProvinceName も
                > subject の localityName もない証明書
                であることが確認できます。

                # コタツを持っていないので欲しいです。コタツが置ける広い部屋とコタツ本体をください。

                親コメント
              • by Anonymous Coward

                自分ところのCP/CPSにもちゃんと

                「CA/Browser Forum, Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates」のガイドラインに準拠する。

                って書いてあるんだから、この証明書に不備がないとは言えませんよね。

              • by Anonymous Coward

                ほんとこれ
                Mozillaなんで煽りと持論だけでこんなことやってるんだろうね
                もしかして組織監査の仕組みとか理解してない人間が担当しちゃってるのかなあ……。

              • by Anonymous Coward

                Mozillaが主張してるだけって、そもそもMozillaに選択権があるのに
                何言ってるの君は。
                そんなに不満があるなら、自分でMLに反論して来れば。

              • by Anonymous Coward

                Mozillaに選択権があるから全面的に慕え、って、恣意的な決断をするMozillaに公共上大きな影響のある権限を持たしておくのは問題がある、という結論になりかねないんだけど、それでいいの?

              • by Anonymous Coward

                機械的な判断しかしてないように見えますが。
                他に基準満たしてないのに受け入れた例があるんでしょうか。
                それなら恣意的といえますけど。

にわかな奴ほど語りたがる -- あるハッカー

処理中...