パスワードを忘れた? アカウント作成
10357017 story
政府

GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に 119

ストーリー by hylom
どうしてこうなった 部門より

日本政府は政府関連サービス向けに認証基盤(GPKI)を提供しているが、Firefoxではそのサポートが遅れており、そのためハローワークなどのサイトがFirefoxでのアクセス時に「接続の安全性が確認できない」と表示される事態になっている(mozillaのbugzilla)。

GPKIの証明書がWindows Updateで配布されたことも以前話題になったが、Firefoxは独自にルート証明書を管理しており、今回は更新された新しいルート証明書がFirefoxに含まれていないために問題が発生しているようだ。

証明書の配布も行われているが、証明書を配布しているwww.gpki.go.jpについてもアクセスすると「接続の安全性が確認できない」という表示がされる状況になっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by COCKY (5646) on 2013年12月11日 10時44分 (#2509901)

    Firefox以外に、手元で試しただけでもMac(Mavericks)上のSafari・Chrome・Operaでも証明書エラーになるわけですが。
    同じくCentOS 6.4でwgetした場合も同様。

    単にGPKIの中の人がWindows環境以外への対応をわかってないだけではと邪推。

    • by Anonymous Coward

      そもそも、そいう対応を「自分で」するのがオプソを利用する上での暗黙の前提条件だろうに、関係機関から配布されているのだからさっさと「自分で」設定すればいいだけ。

      原因と方法が分かったのだからいちいち騒ぐ必要ない。

      • うんまあ、原則で考えると、「主要な証明書が最初から入っていていろいろ安全」というのはそのブラウザを多くのユーザに使って欲しい人側が行うサービスなんだろね。

        ソースをダウンロードしてきて自力でコンパイルするような人にとっては、しかるべき方法で証明書なりフィンガープリントなりを集めないと安全には使えないめんどくさいブラウザ。インストーラ任せが一杯一杯で自力でのカスタマイズにはとても手が出せないような多くのユーザにとっては、安全には使えないブラウザ。

        どっちかというと、「うちのブラウザなら日本政府のサイトにも簡単・安全にアクセス出来ますよ!」と宣伝したい側が、頑張って証明書を集めるなりの努力をすべき問題に思えるけど、業界の力関係がそうはなってないのかな。
        親コメント
      • by Anonymous Coward

        >そもそも、そいう対応を「自分で」するのがオプソを利用する上での暗黙の前提条件だろうに
        さすがにそれは暴論かと。
        ここでいう証明書を設定する「自分」というのは開発者レベルの話であって、ユーザーではないと思う。

        #にしても「オープンソース」を「オプソ」と略す奴にろくな奴はいない印象。
        #オープンソースとタイプするのに時間がかかるくらいタイピングが遅い人なのかねえ?

  • by Anonymous Coward on 2013年12月11日 9時12分 (#2509820)

    やむを得ず自己署名証明書やフィンガープリントをWeb配信する際には、他の認証局の証明書で保護されなければならない。なぜこれがわからないのか。
    GPKIの自己署名証明書のページは平文だし、フィンガープリントのページは暗号化されているがGPKIの証明書で保護されている。GPKIの証明書をインストールするためのフィンガープリントを、GPKIの証明書で保護してどうしろというの?あほちゃうかと。
    go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので、それぐらいの予算はあるだろ。

    その点、LGPKIの自己署名証明書の配布ページ [lgpki.jp]は完璧。俺みたいに口煩い自治体職員がいるからなと思ったら、いつの間にかベリサインからLGPKIの証明書になっている。ホントに糞。

    • by Anonymous Coward on 2013年12月11日 13時00分 (#2510022)

      フィンガープリントが官報(平成23年5月11日第5551号)で公示されているので「他の認証局の証明書で保護」しなくても問題ない

      そもそも署名業者の信頼性はブラウザ配布者の胸先三寸で決められているというのに、署名業者を神聖視するのは止めないか?
      ブラウザ組み込みのルート証明書の信頼性なんてプライバシーマークの信頼性と似たようなもの

      親コメント
    • by Anonymous Coward

      GPKIの証明書をやむを得ずwebページで配布してしまっている、という問題もあるが、
      根本はFirefoxの対応遅れだろ。
      ルート認証局が増えるのに、対応の遅いWebブラウザがあるせいで、足を引っ張られている。

      まず、ストーリのタイトルが悪い。
      「GPKI(政府認証基盤)の対応遅れにより」
      ではなく、
      「GPKI(政府認証基盤)への対応遅れにより」
      だ。

  •  基盤インフラとしてのCA、TSA,TAA、NTA周りから、
    利用者登録/修正/削除管理と紐付いた各種電子署名
    証明書発行/再発行/失効管理+契約管理+課金管理、
    電子署名/署名検証/アーカイブ署名管理などなど、
    最低↑の基本的な事が一周するまで待つしか無いです(走召糸色木亥火暴)

    --
    ------------------------------ "castigat ridendo mores"
    • by Anonymous Coward

      えーっと、直属の上司から、課長決済、部長決済、事業部長決済、社長決済をパスして稟議が下りるようなものですね。

      #Dellの特売期間終わっちゃったよ。

  • Mozillaのはとりあえずこの黄色いところをちゃんと埋めてねってことらしい。
    https://bug870185.bugzilla.mozilla.org/attachment.cgi?id=787050 [mozilla.org]

    --
    屍体メモ [windy.cx]
  • by Anonymous Coward on 2013年12月11日 18時47分 (#2510421)

    Windows(11月の更新で今回問題になってる証明書をOSの証明書ストアに追加済)
    ・IE:OK
    ・Firefox:NG
    ・Chrome:OK(Windowsの証明書ストアを共用してるため)
    ・Opera (Blink):OK(Windowsの証明書ストアを共用してるため)
    ・Opera (Presto):NG

    Mac OS X, iOS(今回問題になってる証明書はOSの証明書ストアに追加されていない)
    ・Safari:NG
    ・Firefox:NG
    ・Chrome:NG
    ・Opera:NG

    Linux(今回問題になってる証明書はOSの証明書ストアに追加されていない)
    ・Firefox:NG
    ・Chrome:NG
    ・Opera:NG

    Android(今回問題になってる証明書はOSの証明書ストアに追加されていない)
    ・標準ブラウザ:NG
    ・Firefox:NG
    ・Chrome:NG
    ・Opera:NG

  • by i_i (22332) on 2013年12月11日 21時45分 (#2510543) 日記

    フランス政府系認証局が不正な中間証明書を発行 [mynavi.jp]、なんてニュースが・・・何やろうとしたんだフランス政府。

  • by Anonymous Coward on 2013年12月11日 8時36分 (#2509804)

    しごと情報ネット 2013年11月29日 【重要なお知らせ】セキュリティ証明書の更改に伴う影響について
    http://www.job-net.jp/info.html#n01 [job-net.jp]

  • そんなに変なこと? (スコア:0, おもしろおかしい)

    by Anonymous Coward on 2013年12月11日 9時55分 (#2509856)

    日本の公的機関サイトへアクセスしたら、ブラウザが
    「政府認証基盤により発行された証明書を信用しますか?」
    と質問してくる、という話でしょ。
    さして変な挙動とは思えないんだけど。
    (まあ意図が分かり難い警告画面だけどさ)

    ベリサイン発行の証明書とかは、初期設定で既に
    「信頼して、二度と警告を出さない」と設定されて
    いるだけで、本来ならベリサイン発行の証明書でも
    質問してくるのが正しい挙動でしょ。
    実際、初期登録のリストを消せばそういう挙動になる。

    ユーザの中には
    「日本政府のお墨付きなんて信用できない!」
    って言って毎回確認しようとする奇特な人も、
    もしかしたらいるかも知れない。

    電子証明書の仕組を理解していれば問題ないわけで、
    どちらかというと問題は、仕組を理解していない人が
    多過ぎることなんじゃないの。

    • by Anonymous Coward on 2013年12月11日 10時05分 (#2509865)
      違うよ。
      日本の公的機関サイトを騙るサイトにアクセスしたら、ブラウザが
      「政府認証基盤により発行された証明書を信用しますか?」
      と質問してくる、という話だよ。

      > 電子証明書の仕組を理解していれば問題ないわけで、
      > どちらかというと問題は、仕組を理解していない人が
      > 多過ぎることなんじゃないの。
      全く同意するよ。
      親コメント
      • by Anonymous Coward

        日本の公的機関サイトを騙るサイトが政府認証基盤の証明書による認証を受けることはできないでしょう。
        日本の公的機関サイトを騙るサイトが政府認証基盤の証明書を騙る証明書による認証を受けることはできるでしょうけど。

        • by Anonymous Coward

          それをどうやって見分けるの?

          • by Anonymous Coward

            さあ? 証明書をよく読む…とか?

    • by Anonymous Coward

      違うね。

      政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、
      本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。
      どちらも挙動はかわりませんよね。
      だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。
      一般の人にフィンガープリント見ろとか無理ありすぎだしね。

      > 電子証明書の仕組を理解していれば問題ないわけで、
      > どちらかというと問題は、仕組を理解していない人が
      > 多過ぎることなんじゃないの。
      その通りですね。

      • by Anonymous Coward

        >政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、
        >本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。
        >どちらも挙動はかわりませんよね。

        挙動が変わらない理由は、ブラウザは「真贋」ではなく
        「信用に足るか否か」を確認しているからでしょ。
        中間証明書発行業者がハックされて「本物のお墨付きの偽証明書」
        が発行された事例は、実際あるし。
        信用できない本物の証明書発行機関、というものも存在する。
        「信用に足るか否か」は個人の裁量の範囲でしょ。

        >だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。

        • by Anonymous Coward

          半端な知識では保身できないいい例だねぇ。

          中間証明書のクラックの件は知ってるけど、dnsの危険性はご存じでない?
          検索結果が正しくてURLも正しくても、接続する先の端末が正しいとは限りません。

          つまり、公式サイトに行ったつもりが偽装サーバに繋いでて、そんなところからダウンロードした証明書は偽物なわけですよ。
          公式サイトが公式であるかの証明はサーバ証明書で行うけど、サーバ証明書は公式サイトからダウンロードするって、本末転倒ですよね。

          証明書の手動インストールは、一般人にはかえって危険だと私は思うんですけどね。
          ご指摘の中間証明書の漏洩に対応するために、削除方法は知っとくべきですけど。

          ちなみにブラウザが判断しているのは、信用に足るかどうかでなく、真贋ですよ。
          しかるべき手続きを受けてインストールされているCAで署名されているかどうか。それだけです。
          だから中間証明がクラックされると危険。

          • by Anonymous Coward

            自己レス。
            読み返してて気づいたけど、証明書と認証局ごっちゃにしてる。
            ほんとごめん。
            私が書いた「中間証明」「中間証明書」は、正しくは中間認証局。

        • by Anonymous Coward

          サイトのURLが信用できたって、そのURLを問い合わせてDNSから返ってきたIPアドレスは信用出来ないでしょ。
          それが信用できるというなら証明書なんか必要ない。

        • by Anonymous Coward

          中間者攻撃があるからURLが正しいからといって正しい証明書といえるかはわからないっていうのがもとコメのいいたいことだろ。
          URLが正しければ内容が正しいならそもそもSSLなんていらない。

          別途信用のある経路(官報)などでフィンガープリントを配っておいて、信用のない経路で中間証明書を配って両者のフィンガプリントが
          一致することで信頼を担保するしかないわけ。

          そんな手間隙かかることを普通の人ができないからブラウザーメーカーにGKPIの中間証明書をいれてもらう協力を政府が依頼してい
          るのだけどMozillaは協力してくれないってだけ。

          • by Anonymous Coward on 2013年12月11日 12時13分 (#2509978)

            そんな手間隙かかることを普通の人ができないからブラウザーメーカーにGKPIの中間証明書をいれてもらう協力を政府が依頼しているのだけどMozillaは協力してくれないってだけ。

            Mozillaは協力してくれないって?
            依頼手続きが間違っているのでやり直してとMozillaがコメントしたのが2013-08-08 04:00:14 JST。
            その後、gpki.go.jpさんのコメントは無し。
            https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c7 [mozilla.org]

            親コメント
      • by Anonymous Coward

        > 一般の人にフィンガープリント見ろとか無理ありすぎだしね。

        じゃ、一般の人が安全にインターネットを使うのなんて無理だね。
        いいんじゃない、そういう人たちはマルウェアかなんか拾って
        踏み台にでもなってれば。

  • by Anonymous Coward on 2013年12月11日 10時03分 (#2509863)

    職安のウェブサイトに証明書がついてないと何か問題あるの?

    • Re:で、 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2013年12月11日 10時24分 (#2509880)

      本気が出せない。つまり・・・

      接続の安全性が確認できてから本気出す

      親コメント
  • by Anonymous Coward on 2013年12月11日 10時46分 (#2509902)

    Chromeも別管理なのかしら。

  • by Anonymous Coward on 2013年12月11日 12時29分 (#2509991)

    利用者の利便性より、自分の決めた手続や都合を相手に押しつけることしか考えてない、
    お役所的な組織どうしの間で起きた齟齬って感じだね
    どっちのやってることも間違ってないんだから、仕方ないというほかない

    • by Anonymous Coward on 2013年12月11日 18時34分 (#2510403)

      GPKI「新しい証明書認めてよ」
      Mozilla「んじゃ必要な情報英訳して。テストサーバも用意してよ」
      GPKI「英訳したよ」
      Mozilla「これとこれとこれと…いろいろ情報不足してるから追加で提出してよ。テストサーバまだ?あと、証明書そのもののダウンロードもその証明書を信用しないとできないんだけど。当座は古いのと新しいのでクロス署名すれば互換性は確保できるからやったらどうかな?」
      GPKI「……(4か月沈黙)」

      Mozillaのどこにお役所体質が?
      ブラウザとして無条件に信用することになるルート証明書の追加なんだから、自ら決めた規定に則って慎重にやるのは当然でしょ
      4か月音沙汰なしのGPKIにすべての原因がある

      親コメント
  • by Anonymous Coward on 2013年12月11日 12時29分 (#2509992)

    選択してルート証明書を入れるという作業が万人向けとは思ってないので、
    あくまで個人的見解としてだが。
    DigiNotarの件があってからは、プリインのルート証明書なんてVeriSign等の
    極少数でええやん、と思うようになってしまった。

    中間認証局だけど、最近もこんなことがあったし。
    Googleドメイン用の不正証明書が発行される、各社が失効措置へ [itmedia.co.jp]

    あとは利用者が必要に応じてインストールできるように、しかるべき手順で
    ルート証明書を配布してくれてるといいのだが。
    配布するサイトのサーバ証明書を自前で発行されると面倒だな、仕方ないけど。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...