アカウント名:
パスワード:
世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてるhttps://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org]けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!正しいやり方をしようとしない日本の政府機関が悪い!!!
そう突っ張るのは自由ですよ。ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。
でも困るのってユーザじゃないの?例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているのに、意地の張り合いでユーザを危険にさらしてどーすんのさ。PwCあらた監査入って認証してるけど、Mozillaが許さないという事で発生する問題点と、Mozillaの見解には違反してるけど、PwCあらたの監査結果を信用して証明書を加えることで発生する問題
定量的に見て、どちらが問題を小さくできるかは明白じゃない?それとも、立法措置などで強制される方をお望みなのか?それは誰も望んでないと思うけど、Mozillaはそっちに突き進んでること理解しているのか?Mozillaが掲げる自由なインターネットという最も重要な理念に対して、こんな枝葉の部分で意地張っていいことあんのかよ。
と言うか、PwCあらたって、東芝の粉飾決算問題で全く問題ない。って監査結果出して、株主などから文句が出て降ろされた監査法人じゃないですか。監査事業がいい加減と言うか、監査を依頼した側に都合悪い話はなかったことにしてきてる会社では…
それは前任の新日本監査法人のことではないの?
都合悪い話はなかったことにしてきてるアカウントかどうかが待たれますね。
監査法人は世界4大監査法人の系列で東証一部上場企業の3/4を監査してる。同じような会計・監査基準を採用している主立った株式市場では、世界中で同じ状況であるはず。さらに国際的な基準に適合しなければならない場合、ローカルな監査法人では対応できないので、国際企業であればほとんどが4大監査法人のいずれかを使っていると思われる。
なので膨大な数の事例の中から、一部だけを引っ張ってその手のケチを付けたら何とでも言える状況よ。
これ、消防署が火災を防げなかった例をとって、消防署の防火認定なんか意味が無い、そんなのよりも防火に詳しいと言うお兄ちゃんが言ってる事の方が信用できるので、お兄ちゃんが言うように建物を全部取り壊して建て直せ、と言ってしまうような理屈ですよ。
#そもそも会計監査とこのような監査は違うしな
そうは言うがな、大佐。GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。
少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?
Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。
日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。
#そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが#本質はそこじゃないのでスルーする
例えば、他国がGPKIみたいなことをやったとする。24時間以内に対応できない状況で。それをFirefoxにねじ込んできたら、迷惑だと思わん?「お前の国の中だけでやってろ」って。
そもそもがさ、GPKIなんて必要ないものじゃん。NASA見てみ? COMODOだぜ?
https://www.nasa.gov/ [nasa.gov]
日本の公的機関だって、別にCOMODOでも何も困らんわけで。ようは、「証明書に金払うのが嫌で、ケチって自前認証局を立てることにした」のがGPKIでしょ。維持費を甘く見てたツケを払わされてるわけだ、今
そら確かに迷惑だが、そーじゃなくて、24時間以内に対応ができないって言ってるの、Mozillaだけじゃねーの?って話よ。このまんまじゃ、ルールも監査制度も知らねえ、そんなことよりMozillaが指摘したらら24時間以内に対応しろってそんな条件になってるけど、マジMozillaそれでいいんか?それMozillaの基本ミッションにも障害になってしまうんじゃね?って事よ。
政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてるわけよ。さっき見たらPwCじゃなくEYになってたど、EYはPwCよりもこの分野で実績あるみたいだからこっちのがよいはず。で、他じゃこれで十分だっていってるわけよ。たとえばMSはこう
http://aka.ms/RootCert [aka.ms]
簡単に言うと、webtrustも含む認めたルールに従った監査を正しく受けたレポートを添えて申請せよってだけだぜ。んで、失効に関する事もきっちり
identifies an Authenticode certificate as either containing a deceptive name or as being used to promote malware or unwanted software, Microsoft will contact the responsible CA and request that is revoke the certificate.
実際に使用された場合に限定して書いてある。これが普通でしょ。そらま、セキュリティインシデントの定義には、最終的にマイクロソフトが問題と考えるそのほかの理由、みたいな要件も入ってるけど、こんな風にポンポンと行使したりしない。
>そもそもがさ、GPKIなんて必要ない
まぁこれはわかる。わかるけど、流石にケチって立てたわけじゃないで。サイバー攻撃などの動向、自治体閉鎖網の動向とかみると、GPKIがあるべきだというのもまぁ一理あるんでないの。最近、大手認証局の不正発覚なんてのもあるし。
政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてる
じゃあ、やっぱり#3369611 [srad.jp]が原因か?監査で認証された対応をしない、と運用担当者が言ってしまったら、「認証した奴、出てこい」状態になるだろう。
mozilaのルート証明書には既にいくつも登録されてるんだからそれら他の認証局は同じ条件をクリアしてるでしょ。
そもそも「政府系ルート証明書」ってどうなの?インターネット発祥の地でも米国政府っぽい証明書は見当たらないんだけど。
Firefoxに組み込まれてるのでいったら、EC-ACCはカタルーニャ自治政府の証明書で、CFCAは中国人民銀行の証明書ですよ
#未だにWoSignとか残ってんのかよ..
いまFirefox58のCertificateManagerを見てるけど台湾、トルコ、ギリシャ、オランダの政府関係と思われる証明局証明書は入ってるね
ApplicationCA2 Rootっつー意味分からん名前は割とよくあることなのかな?EC-ACCがカタルーニャなんとかかんとかの略、CFCAは中国なんとかかんとかの略の可能性はあるけど
>Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、
Mozillaはそんなこと言っていないだろ。もっと基本的な、"CA運用側"が問題を認識したら速やかに解消するかどうかであって、それを5年も放置して、さらにまだそのうち何とかとやってて信用できるかという話。
そうやってワガママな奴に毎回配慮していたらルールがルールじゃなくなるだろユーザー数の減少にビビッて日和見対応しなかったFirefoxはむしろ褒められるべき
せっかくMozillaの人が時間裂いて不備を具体的に不備を指摘してくれてるのにねぇ…自分だったらコードレビューでこんな態度とられたら絞め殺したくなるわ。
これバグってるって?後でなおすからとりあえずこれマージさせてよ。からの放置みたいな
信用できないルート証明局なんか入れたら被害を受けるのはユーザーだって分からないの?
既にMicrosoftとAppleによってインストールされてますよ。つまり、PCとスマフォ併せて、世界の2/3の環境でGKPIがプリインストールされて利用できるわけですが、なんらかの被害受けてるって主張ですか?
ならばとりあえずMSとAppleを訴えてみたらどうでしょうか。
ピコーン!ひらめいた。
日本国内向けのブラウザには、GPKIに対応するようにと法律を作れば、Mozillaも対応せざるをえなくなる!
万国のユーザを危険に晒すか、一国のユーザが多少不便になるかの違い。まぁ、もしこれが米国や中国なら、もうちょっとは扱いが変わったかもね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:0, 荒らし)
世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてる
https://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org]
けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!
正しいやり方をしようとしない日本の政府機関が悪い!!!
そう突っ張るのは自由ですよ。
ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。
でも困るのってユーザじゃないの?
例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?
一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているのに、意地の張り合いでユーザを危険にさらしてどーすんのさ。
PwCあらた監査入って認証してるけど、Mozillaが許さないという事で発生する問題点と、
Mozillaの見解には違反してるけど、PwCあらたの監査結果を信用して証明書を加えることで発生する問題
定量的に見て、どちらが問題を小さくできるかは明白じゃない?
それとも、立法措置などで強制される方をお望みなのか?
それは誰も望んでないと思うけど、Mozillaはそっちに突き進んでること理解しているのか?Mozillaが掲げる自由なインターネットという最も重要な理念に対して、こんな枝葉の部分で意地張っていいことあんのかよ。
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:1)
と言うか、PwCあらたって、東芝の粉飾決算問題で全く問題ない。って監査結果出して、株主などから文句が出て降ろされた監査法人じゃないですか。
監査事業がいい加減と言うか、監査を依頼した側に都合悪い話はなかったことにしてきてる会社では…
Re: (スコア:0)
それは前任の新日本監査法人のことではないの?
Re: (スコア:0)
都合悪い話はなかったことにしてきてるアカウントかどうかが待たれますね。
Re: (スコア:0)
監査法人は世界4大監査法人の系列で東証一部上場企業の3/4を監査してる。
同じような会計・監査基準を採用している主立った株式市場では、世界中で同じ状況であるはず。さらに国際的な基準に適合しなければならない場合、ローカルな監査法人では対応できないので、国際企業であればほとんどが4大監査法人のいずれかを使っていると思われる。
なので膨大な数の事例の中から、一部だけを引っ張ってその手のケチを付けたら何とでも言える状況よ。
これ、消防署が火災を防げなかった例をとって、消防署の防火認定なんか意味が無い、そんなのよりも防火に詳しいと言うお兄ちゃんが言ってる事の方が信用できるので、お兄ちゃんが言うように建物を全部取り壊して建て直せ、と言ってしまうような理屈ですよ。
#そもそも会計監査とこのような監査は違うしな
Re: (スコア:0)
そうは言うがな、大佐。
GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。
そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。
日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。
少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?
Re: (スコア:0)
Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。
もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。
日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。
#そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが
#本質はそこじゃないのでスルーする
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:2, すばらしい洞察)
例えば、他国がGPKIみたいなことをやったとする。
24時間以内に対応できない状況で。
それをFirefoxにねじ込んできたら、迷惑だと思わん?
「お前の国の中だけでやってろ」って。
そもそもがさ、GPKIなんて必要ないものじゃん。
NASA見てみ? COMODOだぜ?
https://www.nasa.gov/ [nasa.gov]
日本の公的機関だって、別にCOMODOでも何も困らんわけで。
ようは、「証明書に金払うのが嫌で、ケチって自前認証局を立てることにした」のがGPKIでしょ。
維持費を甘く見てたツケを払わされてるわけだ、今
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:1)
そら確かに迷惑だが、そーじゃなくて、24時間以内に対応ができないって言ってるの、Mozillaだけじゃねーの?って話よ。
このまんまじゃ、ルールも監査制度も知らねえ、そんなことよりMozillaが指摘したらら24時間以内に対応しろってそんな条件になってるけど、マジMozillaそれでいいんか?それMozillaの基本ミッションにも障害になってしまうんじゃね?って事よ。
政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてるわけよ。さっき見たらPwCじゃなくEYになってたど、EYはPwCよりもこの分野で実績あるみたいだからこっちのがよいはず。
で、他じゃこれで十分だっていってるわけよ。
たとえばMSはこう
http://aka.ms/RootCert [aka.ms]
簡単に言うと、webtrustも含む認めたルールに従った監査を正しく受けたレポートを添えて申請せよってだけだぜ。
んで、失効に関する事もきっちり
identifies an Authenticode certificate as either containing a deceptive name or as being used to promote malware or unwanted software, Microsoft will contact the responsible CA and request that is revoke the certificate.
実際に使用された場合に限定して書いてある。
これが普通でしょ。そらま、セキュリティインシデントの定義には、最終的にマイクロソフトが問題と考えるそのほかの理由、みたいな要件も入ってるけど、こんな風にポンポンと行使したりしない。
>そもそもがさ、GPKIなんて必要ない
まぁこれはわかる。
わかるけど、流石にケチって立てたわけじゃないで。
サイバー攻撃などの動向、自治体閉鎖網の動向とかみると、GPKIがあるべきだというのもまぁ一理あるんでないの。最近、大手認証局の不正発覚なんてのもあるし。
Re: (スコア:0)
じゃあ、やっぱり#3369611 [srad.jp]が原因か?
監査で認証された対応をしない、と運用担当者が言ってしまったら、「認証した奴、出てこい」状態になるだろう。
Re: (スコア:0)
mozilaのルート証明書には既にいくつも登録されてるんだからそれら他の認証局は同じ条件をクリアしてるでしょ。
Re: (スコア:0)
そもそも「政府系ルート証明書」ってどうなの?
インターネット発祥の地でも米国政府っぽい証明書は見当たらないんだけど。
Re: (スコア:0)
Firefoxに組み込まれてるのでいったら、EC-ACCはカタルーニャ自治政府の証明書で、CFCAは中国人民銀行の証明書ですよ
#未だにWoSignとか残ってんのかよ..
Re: (スコア:0)
いまFirefox58のCertificateManagerを見てるけど
台湾、トルコ、ギリシャ、オランダの政府関係と思われる証明局証明書は入ってるね
Re: (スコア:0)
ApplicationCA2 Rootっつー意味分からん名前は割とよくあることなのかな?
EC-ACCがカタルーニャなんとかかんとかの略、
CFCAは中国なんとかかんとかの略の可能性はあるけど
Re: (スコア:0)
>Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、
Mozillaはそんなこと言っていないだろ。
もっと基本的な、"CA運用側"が問題を認識したら速やかに解消するかどうかであって、
それを5年も放置して、さらにまだそのうち何とかとやってて信用できるかという話。
Re: (スコア:0)
そうやってワガママな奴に毎回配慮していたらルールがルールじゃなくなるだろ
ユーザー数の減少にビビッて日和見対応しなかったFirefoxはむしろ褒められるべき
Re: (スコア:0)
せっかくMozillaの人が時間裂いて不備を具体的に不備を指摘してくれてるのにねぇ…
自分だったらコードレビューでこんな態度とられたら絞め殺したくなるわ。
これバグってるって?後でなおすからとりあえずこれマージさせてよ。からの放置みたいな
Re: (スコア:0)
信用できないルート証明局なんか入れたら被害を受けるのはユーザーだって分からないの?
Re: (スコア:0)
既にMicrosoftとAppleによってインストールされてますよ。
つまり、PCとスマフォ併せて、世界の2/3の環境でGKPIがプリインストールされて利用できるわけですが、なんらかの被害受けてるって主張ですか?
ならばとりあえずMSとAppleを訴えてみたらどうでしょうか。
Re: (スコア:0)
ピコーン!ひらめいた。
日本国内向けのブラウザには、GPKIに対応するようにと法律を作れば、Mozillaも対応せざるをえなくなる!
Re: (スコア:0)
万国のユーザを危険に晒すか、一国のユーザが多少不便になるかの違い。
まぁ、もしこれが米国や中国なら、もうちょっとは扱いが変わったかもね。