4.9.1.1. Reasons for Revoking a Subscriber Certificate
The CA SHALL revoke a Certificate within 24 hours if one or more of the following occurs:
: 9. The CA is made aware that the Certificate was not issued in accordance with these Requirements or the CA’s Certificate Policy or Certification Practice Statement;
by
Anonymous Coward
on 2018年03月01日 23時51分
(#3369756)
Buzilla からリンクされている Google Groups でのディスカッションを見ると分かりますが、 Mozilla のフォーラムであるにもかかわらず Google の中の人が出てきてインパクトのある発言を残して、 それが議論に方向性を与えたりしています。なので、政治的決断ができないとは少し違うかと。
by
Anonymous Coward
on 2018年03月01日 20時59分
(#3369688)
だまされる人がいると困るので。
Baseline Requirements 1.5.4: > 4.9.1.1. Reasons for Revoking a Subscriber Certificate > The CA SHALL revoke a Certificate within 24 hours if one or > more of the following occurs: ... > 9. The CA is made aware that the Certificate was not issued in > accordance with these Requirements or the CA's Certificate > Policy or Certification Practice Statement;
#3369654 crt.shへのリンク: > BR certificates with organizationName must include either localityName or stateOrProvinceName
戻ってきて、Baseline Requirements 1.5.4: > 7.1.4.2. Subject Information – Subscriber Certificates ... > f. Certificate Field: subject:stateOrProvinceName (OID: 2.5.4.8) > Required if the subject:organizationName field, > subject:givenName field, > or subject:surname field > are present and > subject:localityName field is absent.
Baseline Requirements (スコア:3, 参考になる)
あー、これか。
Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates [cabforum.org][※PDF]
証明書の非準拠を認識した後、24時間以内に失効させられなきゃCAを名乗る資格がない、と。
「言われたからやった」じゃ駄目なわけね。
Re:Baseline Requirements (スコア:1)
しかも「言われたからやった」どころか「言われたから準備してる(まだやってない)」……
Re:Baseline Requirements (スコア:2, おもしろおかしい)
日本の伝統芸「そば屋の出前」を認証局にも適用してみますた
Re: (スコア:0)
逆に Microsoft や Google が GPKI に対応しているのはどういう基準からなのか気になる。
Re:Baseline Requirements (スコア:1)
Re:Baseline Requirements (スコア:2, 興味深い)
Buzilla からリンクされている Google Groups でのディスカッションを見ると分かりますが、
Mozilla のフォーラムであるにもかかわらず Google の中の人が出てきてインパクトのある発言を残して、
それが議論に方向性を与えたりしています。なので、政治的決断ができないとは少し違うかと。
各種ポリシーを杓子定規に当てはめれば即却下であるところ、総務省サイドに弁明の機会を与えているように
見えます。残念なことに、総務省サイドに改善の姿勢が見られなかったので WONTFIX となりましたが、これこそ
政治的決断ではないでしょうか。
Re: (スコア:0)
まあ、でもMozillaが突っぱねなければGPKIは問題のある証明書の失効させることもなかったわけで、こういうブラウザベンダがある程度のシェアを持っていることは重要なことだと思いました(小並)
# んなもん関係なしにFirefox使い続けていますが
Re: (スコア:0)
MSに関してはGPKI最初の時「もうすぐちゃんとやるから」的に「政治力で」ねじ込まれてなかった?
ザケンナコラ!と思ったがこういう論理的なモノに力でねじ込む方が問題なんだよね。
Re: (スコア:0)
ChromeってOSの証明書ストア使ってるだけだから
Re: (スコア:0)
そんな話じゃない。
元々、発行済みの非準拠の証明書は失効させるべきだ、と言われたのに対し、
そのうち期限切れで失効するから、そうなったら問題ないよね、みたいな回答したのが原因。
非準拠を認識したのであれば失効させるというBRに対し、こんな回答したらそりゃ守る気ないだろと認識されるだろう。
Re: (スコア:0)
内容に問題のある証明書が結構ある [crt.sh]んですが、それを正す必要はないと?
すくなくとも、受け入れ側としてはコレらに懸念があるから解決しろ言われてんのに放置っていってるんじゃ、そりゃ受け入れ側は受け入れられないって言うでしょ。
あと、別にまとめ読んだんじゃなくて、メールのやりとり見ての感想だからね。
Re: (スコア:0)
だからそれ、4.9.1.1. Reasons for Revoking a Subscriber Certificateの具体的な項目に引っかかってないでしょうって話をしているんだけども。
結局Mozillaが独断で問題と言っているだけでしょうが。
あなたがリンクを張ったページを見ると、MozillaのCA認証ストアとそれを利用している派生の環境以外では、概ね承認されてることも読み取れるよ。
#そんな風に読み取れるのに「まとめ読んだんじゃない」って明らかにアレだけど
#ちょっと面の皮厚すぎつーか、目的がわからんつーか
Re:Baseline Requirements (スコア:5, 参考になる)
だまされる人がいると困るので。
Baseline Requirements 1.5.4:
> 4.9.1.1. Reasons for Revoking a Subscriber Certificate
> The CA SHALL revoke a Certificate within 24 hours if one or
> more of the following occurs:
...
> 9. The CA is made aware that the Certificate was not issued in
> accordance with these Requirements or the CA's Certificate
> Policy or Certification Practice Statement;
#3369654 crt.shへのリンク:
> BR certificates with organizationName must include either localityName or stateOrProvinceName
戻ってきて、Baseline Requirements 1.5.4:
> 7.1.4.2. Subject Information – Subscriber Certificates
...
> f. Certificate Field: subject:stateOrProvinceName (OID: 2.5.4.8)
> Required if the subject:organizationName field,
> subject:givenName field,
> or subject:surname field
> are present and
> subject:localityName field is absent.
Subject の organizationName があるのに subject の stateOrProvinceName も
subject の localityName もない証明書は、 Baseline Requirements の規定に準拠していません。
なので、 4.9.1.1. の 9. に該当し、失効されるべきです。
Re: (スコア:0)
CP/CPSの失効事由の"証明書の内容、利用目的が正しくない場合"に違反してるんじゃないの?
このあたりは詳しくないから、他かもしれんけどさ。
まぁ、Mozillaの判断として正しくないって言ってるというのはあるけど、それにしたところで受け入れ側がMozillaなんだから説得できる説明はしないとダメでしょ。
しかし、むしろそんな深読みされる理由がこっちは分からん。
あのリンクから辿れる証明書にまだ有効なのがあるのは問題でどうするかって、Mozillaの方から言ってる話じゃないか。
Re: (スコア:0)
それらは全部Mozillaが主張しているだけって話しかしてないんだけど。その張ってあるのもメールのリンクのコピペなだけじゃん。
手を変え品を変え強弁して、挙げ句のはてにだまされないように、って勘弁してよ。ほんと何が目的なの。過剰な弁護はコミュニティに死をもたらすよ。
あんたがコタツでゲスパーして妄想した結果よりも、厳然たる事実としてEYによって実地の監査が通ってること、それを根拠に各社は承認をしてるが、Mozillaだけが拒否しているという動かしがたい事実をまず認識してよ。
んで、それを覆すなら、従来証明書に疑義がある時、MozillaはCANICがやらかしたときみたいに他社に対しても働きかけをするのが慣例でしょ?そして各社協調するじゃん。
さらに言えば、まずEYが監査した所はもう一度リジェクトして再監査しなきゃなんないでしょ。それこそ重大なポリシー違反で、ルート証明書が信用できないようなもんなんだから。何でしないのよ。
Re: (スコア:0)
煽りが多い
極論を持ち出す
0点
Re:Baseline Requirements (スコア:1)
臆病者なのにプラスモデされて嬉しいので誰でも確認できる情報を蛇足しておくと、
crt.sh (運営しているのは Comodo の人: Mozilla Foundation は無関係):
https://crt.sh/?cablint=10&iCAID=1419&minNotBefore=2013-01-01 [crt.sh]
上記のうち 1 枚を拾うと:
https://crt.sh/?id=287667889&opt=cablint [crt.sh]
Subject の commonName に書いてある https://bft2.maff.go.jp/ [maff.go.jp] にアクセスすると証明書を誰でも見られますが、
その証明書を見ると
> Subject の organizationName があるのに subject の stateOrProvinceName も
> subject の localityName もない証明書
であることが確認できます。
# コタツを持っていないので欲しいです。コタツが置ける広い部屋とコタツ本体をください。
Re: (スコア:0)
自分ところのCP/CPSにもちゃんと
「CA/Browser Forum, Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates」のガイドラインに準拠する。
って書いてあるんだから、この証明書に不備がないとは言えませんよね。
Re: (スコア:0)
ほんとこれ
Mozillaなんで煽りと持論だけでこんなことやってるんだろうね
もしかして組織監査の仕組みとか理解してない人間が担当しちゃってるのかなあ……。
Re: (スコア:0)
Mozillaが主張してるだけって、そもそもMozillaに選択権があるのに
何言ってるの君は。
そんなに不満があるなら、自分でMLに反論して来れば。
Re: (スコア:0)
Mozillaに選択権があるから全面的に慕え、って、恣意的な決断をするMozillaに公共上大きな影響のある権限を持たしておくのは問題がある、という結論になりかねないんだけど、それでいいの?
Re: (スコア:0)
機械的な判断しかしてないように見えますが。
他に基準満たしてないのに受け入れた例があるんでしょうか。
それなら恣意的といえますけど。