4.9.1.1. Reasons for Revoking a Subscriber Certificate
The CA SHALL revoke a Certificate within 24 hours if one or more of the following occurs:
: 9. The CA is made aware that the Certificate was not issued in accordance with these Requirements or the CA’s Certificate Policy or Certification Practice Statement;
Baseline Requirements 1.5.4: > 4.9.1.1. Reasons for Revoking a Subscriber Certificate > The CA SHALL revoke a Certificate within 24 hours if one or > more of the following occurs: ... > 9. The CA is made aware that the Certificate was not issued in > accordance with these Requirements or the CA's Certificate > Policy or Certification Practice Statement;
#3369654 crt.shへのリンク: > BR certificates with organizationName must include either localityName or stateOrProvinceNam
Baseline Requirements (スコア:3, 参考になる)
あー、これか。
Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates [cabforum.org][※PDF]
証明書の非準拠を認識した後、24時間以内に失効させられなきゃCAを
Re: (スコア:-1)
Mozillaがそう言ってるだけだろそれ。
そもそも申請する側は、監査を受けて問題が無いとして申請しているわけで、非準拠を認識はしてないんじゃないの。単なる見解の相違。
それでもそう言うなら対応するから少し待って、って言ったら、24時間以内じゃないからもうやめた、なんて姿勢がまともなんかね。
前あった話みたいに、google.comの証明書を作ってましたとかそう言う実際に問題が出てる話ならまぁわかるよ。
でもさ、見解の相違レベルでMozillaが言ったあと24時間で対応しなきゃ駄目、ってそりゃないでしょ。
政府だって昔jbeef先生に指摘されたこと
https://web.archi [archive.org]
Re: (スコア:0)
そんな話じゃない。
元々、発行済みの非準拠の証明書は失効させるべきだ、と言われたのに対し、
そのうち期限切れで失効するから、そうなったら問題ないよね、みたいな回答したのが原因。
非準拠を認識したのであれば失効させるというBRに対し、こんな回答したらそりゃ守る気ないだろと認識されるだろう。
Re: (スコア:-1)
だから、そんな話じゃないって。非準拠って主張したのMozillaだけでしょ?
それって、24時間以内に対応しなきゃいけないインシデントなの?Mozillaがそう言ってるだけでしょ?って事よ。
#タレコミにあるブログの翻訳はかなり恣意的なんで丸呑みしないほうがいいと思うぞ
#筆者自分でも最初に理解してないって注意書きしてくれてるんだからさ
上のコメントに上がってる「4.9.1.1. Reasons for Revoking a Subscriber Certificate」には失効させなきゃいけない理由が羅列されている。
その具体的に羅列された方には該当するような話はない。
そのなかで、今までの行動につじつま
Re: (スコア:0)
内容に問題のある証明書が結構ある [crt.sh]んですが、それを正す必要はないと?
すくなくとも、受け入れ側としてはコレらに懸念があるから解決しろ言われてんのに放置っていってるんじゃ、そりゃ受け入れ側は受け入れられないって言うでしょ。
あと、別にまとめ読んだんじゃなくて、メールのやりとり見ての感想だからね。
Re: (スコア:0)
だからそれ、4.9.1.1. Reasons for Revoking a Subscriber Certificateの具体的な項目に引っかかってないでしょうって話をしているんだけども。
結局Mozillaが独断で問題と言っているだけでしょうが。
あなたがリンクを張ったページを見ると、MozillaのCA認証ストアとそれを利用している派生の環境以外では、概ね承認されてることも読み取れるよ。
#そんな風に読み取れるのに「まとめ読んだんじゃない」って明らかにアレだけど
#ちょっと面の皮厚すぎつーか、目的がわからんつーか
Re: (スコア:5, 参考になる)
だまされる人がいると困るので。
Baseline Requirements 1.5.4:
> 4.9.1.1. Reasons for Revoking a Subscriber Certificate
> The CA SHALL revoke a Certificate within 24 hours if one or
> more of the following occurs:
...
> 9. The CA is made aware that the Certificate was not issued in
> accordance with these Requirements or the CA's Certificate
> Policy or Certification Practice Statement;
#3369654 crt.shへのリンク:
> BR certificates with organizationName must include either localityName or stateOrProvinceNam
Re: (スコア:0)
それらは全部Mozillaが主張しているだけって話しかしてないんだけど。その張ってあるのもメールのリンクのコピペなだけじゃん。
手を変え品を変え強弁して、挙げ句のはてにだまされないように、って勘弁してよ。ほんと何が目的なの。過剰な弁護はコミュニティに死をもたらすよ。
あんたがコタツでゲスパーして妄想した結果よりも、厳然たる事実としてEYによって実地の監査が通ってること、それを根拠に各社は承認をしてるが、Mozillaだけが拒否しているという動かしがたい事実をまず認識してよ。
んで、それを覆すなら、従来証明書に疑義がある時、MozillaはCANICがやらかしたときみたいに他社に対しても働きかけをするのが慣例でしょ?そして各社協調するじゃん。
さらに言えば、まずEYが監査した所はもう一度リジェクトして再監査しなきゃなんないでしょ。それこそ重大なポリシー違反で、ルート証明書が信用できないようなもんなんだから。何でしないのよ。
Re: (スコア:0)
Mozillaが主張してるだけって、そもそもMozillaに選択権があるのに
何言ってるの君は。
そんなに不満があるなら、自分でMLに反論して来れば。
Re:Baseline Requirements (スコア:0)
Mozillaに選択権があるから全面的に慕え、って、恣意的な決断をするMozillaに公共上大きな影響のある権限を持たしておくのは問題がある、という結論になりかねないんだけど、それでいいの?
Re: (スコア:0)
機械的な判断しかしてないように見えますが。
他に基準満たしてないのに受け入れた例があるんでしょうか。
それなら恣意的といえますけど。