Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに 134
ストーリー by hylom
正しいやり方をしようとしない日本の政府機関 部門より
正しいやり方をしようとしない日本の政府機関 部門より
FirefoxはGPKI(政府による公開鍵基盤)に対応しておらず、一部政府系サイトの閲覧時に警告が表示されることが以前から問題となっている(過去記事)。この問題を解決できるよう活動は行われているものの、この状況が改善することはまだしばらくないようだ(IIJ 大津繁樹氏によるTweet、「yumetodoの旅とプログラミングとかの記録」ブログ、Bugzillaでの議論)。
Bugzillaではこの問題に対するステータスが2月27日に「WONTFIX」(修正予定無し)へと変更されている。長い議論となっているが、証明書を発行する認証局に対する基本要件(Baseline Requirements、BR)に準拠していない時期に発行された証明書がまだ有効なままで残っているのが非対応の理由となっている。
この問題がWONTFIXとなったことを受けて、GPKI側は問題のある証明書を無効化する準備をしているとしているが、これに対しMozilla側はこういった証明書が無効化されずに残っていること自体がBR違反であるとして、無効化を行ったとしても必ずしもGPKIに対応するわけではないとしている。
Baseline Requirements (スコア:3, 参考になる)
あー、これか。
Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates [cabforum.org][※PDF]
証明書の非準拠を認識した後、24時間以内に失効させられなきゃCAを名乗る資格がない、と。
「言われたからやった」じゃ駄目なわけね。
Re:Baseline Requirements (スコア:1)
しかも「言われたからやった」どころか「言われたから準備してる(まだやってない)」……
Re:Baseline Requirements (スコア:2, おもしろおかしい)
日本の伝統芸「そば屋の出前」を認証局にも適用してみますた
Re: (スコア:0)
逆に Microsoft や Google が GPKI に対応しているのはどういう基準からなのか気になる。
Re:Baseline Requirements (スコア:1)
Re:Baseline Requirements (スコア:2, 興味深い)
Buzilla からリンクされている Google Groups でのディスカッションを見ると分かりますが、
Mozilla のフォーラムであるにもかかわらず Google の中の人が出てきてインパクトのある発言を残して、
それが議論に方向性を与えたりしています。なので、政治的決断ができないとは少し違うかと。
各種ポリシーを杓子定規に当てはめれば即却下であるところ、総務省サイドに弁明の機会を与えているように
見えます。残念なことに、総務省サイドに改善の姿勢が見られなかったので WONTFIX となりましたが、これこそ
政治的決断ではないでしょうか。
Re: (スコア:0)
そんな話じゃない。
元々、発行済みの非準拠の証明書は失効させるべきだ、と言われたのに対し、
そのうち期限切れで失効するから、そうなったら問題ないよね、みたいな回答したのが原因。
非準拠を認識したのであれば失効させるというBRに対し、こんな回答したらそりゃ守る気ないだろと認識されるだろう。
Re: (スコア:0)
内容に問題のある証明書が結構ある [crt.sh]んですが、それを正す必要はないと?
すくなくとも、受け入れ側としてはコレらに懸念があるから解決しろ言われてんのに放置っていってるんじゃ、そりゃ受け入れ側は受け入れられないって言うでしょ。
あと、別にまとめ読んだんじゃなくて、メールのやりとり見ての感想だからね。
Re: (スコア:0)
だからそれ、4.9.1.1. Reasons for Revoking a Subscriber Certificateの具体的な項目に引っかかってないでしょうって話をしているんだけども。
結局Mozillaが独断で問題と言っているだけでしょうが。
あなたがリンクを張ったページを見ると、MozillaのCA認証ストアとそれを利用している派生の環境以外では、概ね承認されてることも読み取れるよ。
#そんな風に読み取れるのに「まとめ読んだんじゃない」って明らかにアレだけど
#ちょっと面の皮厚すぎつーか、目的がわからんつーか
Re:Baseline Requirements (スコア:5, 参考になる)
だまされる人がいると困るので。
Baseline Requirements 1.5.4:
> 4.9.1.1. Reasons for Revoking a Subscriber Certificate
> The CA SHALL revoke a Certificate within 24 hours if one or
> more of the following occurs:
...
> 9. The CA is made aware that the Certificate was not issued in
> accordance with these Requirements or the CA's Certificate
> Policy or Certification Practice Statement;
#3369654 crt.shへのリンク:
> BR certificates with organizationName must include either localityName or stateOrProvinceName
戻ってきて、Baseline Requirements 1.5.4:
> 7.1.4.2. Subject Information – Subscriber Certificates
...
> f. Certificate Field: subject:stateOrProvinceName (OID: 2.5.4.8)
> Required if the subject:organizationName field,
> subject:givenName field,
> or subject:surname field
> are present and
> subject:localityName field is absent.
Subject の organizationName があるのに subject の stateOrProvinceName も
subject の localityName もない証明書は、 Baseline Requirements の規定に準拠していません。
なので、 4.9.1.1. の 9. に該当し、失効されるべきです。
Re: (スコア:0)
CP/CPSの失効事由の"証明書の内容、利用目的が正しくない場合"に違反してるんじゃないの?
このあたりは詳しくないから、他かもしれんけどさ。
まぁ、Mozillaの判断として正しくないって言ってるというのはあるけど、それにしたところで受け入れ側がMozillaなんだから説得できる説明はしないとダメでしょ。
しかし、むしろそんな深読みされる理由がこっちは分からん。
あのリンクから辿れる証明書にまだ有効なのがあるのは問題でどうするかって、Mozillaの方から言ってる話じゃないか。
Re:Baseline Requirements (スコア:1)
臆病者なのにプラスモデされて嬉しいので誰でも確認できる情報を蛇足しておくと、
crt.sh (運営しているのは Comodo の人: Mozilla Foundation は無関係):
https://crt.sh/?cablint=10&iCAID=1419&minNotBefore=2013-01-01 [crt.sh]
上記のうち 1 枚を拾うと:
https://crt.sh/?id=287667889&opt=cablint [crt.sh]
Subject の commonName に書いてある https://bft2.maff.go.jp/ [maff.go.jp] にアクセスすると証明書を誰でも見られますが、
その証明書を見ると
> Subject の organizationName があるのに subject の stateOrProvinceName も
> subject の localityName もない証明書
であることが確認できます。
# コタツを持っていないので欲しいです。コタツが置ける広い部屋とコタツ本体をください。
なんとしても、日本政府のせいにしたくない勢力がいる? (スコア:2, 興味深い)
なんか怖いね。
よほどMozillaに恨みがあるか、安倍晋三の失策にならないよう必死にMozillaのせいにしようとしている方がいるのかなぁ。
Bug 870185 [mozilla.org]を見ると分かると思うけど、5年間も適当な対応をし続けてきたのだから仕方ないんじゃない?
おそらく、担当者が人事異動でコロコロ変わり、「引き継ぎ事項に入っているので任期中に何かやった証拠を残すために対応するけど、続きは次の担当者に」という先送り対応を続けてきたのではないだろうか。そして、今回の担当者は誠実に対応しようとしたけど、Mozillaと日本国政府の板挟みになったように見受けられる。
審査する側からしたら、相手が企業か政府かといった組織形態なんて関係なく、ポリシーに則っているか否かを淡々と審査し、バリデーションの結果を返す (問題があれば修正か取り下げを求める、問題がなければ受け入れる) だけ。情や組織の威光という審査項目にないものでなんとかしようとしても、通るわけがない。
国産ブラウザとか称して対応する fork でも作ったら? (スコア:0)
お好きでしょう、そういうの
Re: (スコア:0)
どこの誰がどういう理由で好きなんですか?その判断の根拠はなんですか?
Re: (スコア:0)
日の丸ボブスレーという前例にあやかって
日の丸ブラウザというのもいいでしょ
エライ人ほどはそういうのは好きだと思うよ
Re:国産ブラウザとか称して対応する fork でも作ったら? (スコア:1)
日の丸ボブスレーという前例にあやかって 日の丸ブラウザというのもいいでしょ エライ人ほどはそういうのは好きだと思うよ
本当に必要なのは日の丸PKIの感動ポルノだと僕も思いますよ。
Re: (スコア:0)
KOMEIブラウザを思い出した
Re:国産ブラウザとか称して対応する fork でも作ったら? (スコア:1)
罠なのか?
Re: (スコア:0)
はい
そもそもCommonNameが悪すぎる (スコア:0)
ApplicationCA2 Rootって何だよw
この名前で日本政府が署名してるってことを連想できる人ってどこにいるの?
Re:そもそもCommonNameが悪すぎる (スコア:2)
まじすか
それは恥ずかしい…
意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:0, 荒らし)
世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてる
https://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org]
けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!
正しいやり方をしようとしない日本の政府機関が悪い!!!
そう突っ張るのは自由ですよ。
ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。
でも困るのってユーザじゃないの?
例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?
一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているのに、意地の張り合いでユーザを危険にさらしてどーすんのさ。
PwCあらた監査入って認証してるけど、Mozillaが許さないという事で発生する問題点と、
Mozillaの見解には違反してるけど、PwCあらたの監査結果を信用して証明書を加えることで発生する問題
定量的に見て、どちらが問題を小さくできるかは明白じゃない?
それとも、立法措置などで強制される方をお望みなのか?
それは誰も望んでないと思うけど、Mozillaはそっちに突き進んでること理解しているのか?Mozillaが掲げる自由なインターネットという最も重要な理念に対して、こんな枝葉の部分で意地張っていいことあんのかよ。
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:1)
と言うか、PwCあらたって、東芝の粉飾決算問題で全く問題ない。って監査結果出して、株主などから文句が出て降ろされた監査法人じゃないですか。
監査事業がいい加減と言うか、監査を依頼した側に都合悪い話はなかったことにしてきてる会社では…
Re: (スコア:0)
そうは言うがな、大佐。
GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。
そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。
日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。
少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?
Re: (スコア:0)
Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。
もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。
日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。
#そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが
#本質はそこじゃないのでスルーする
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:2, すばらしい洞察)
例えば、他国がGPKIみたいなことをやったとする。
24時間以内に対応できない状況で。
それをFirefoxにねじ込んできたら、迷惑だと思わん?
「お前の国の中だけでやってろ」って。
そもそもがさ、GPKIなんて必要ないものじゃん。
NASA見てみ? COMODOだぜ?
https://www.nasa.gov/ [nasa.gov]
日本の公的機関だって、別にCOMODOでも何も困らんわけで。
ようは、「証明書に金払うのが嫌で、ケチって自前認証局を立てることにした」のがGPKIでしょ。
維持費を甘く見てたツケを払わされてるわけだ、今
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:1)
そら確かに迷惑だが、そーじゃなくて、24時間以内に対応ができないって言ってるの、Mozillaだけじゃねーの?って話よ。
このまんまじゃ、ルールも監査制度も知らねえ、そんなことよりMozillaが指摘したらら24時間以内に対応しろってそんな条件になってるけど、マジMozillaそれでいいんか?それMozillaの基本ミッションにも障害になってしまうんじゃね?って事よ。
政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてるわけよ。さっき見たらPwCじゃなくEYになってたど、EYはPwCよりもこの分野で実績あるみたいだからこっちのがよいはず。
で、他じゃこれで十分だっていってるわけよ。
たとえばMSはこう
http://aka.ms/RootCert [aka.ms]
簡単に言うと、webtrustも含む認めたルールに従った監査を正しく受けたレポートを添えて申請せよってだけだぜ。
んで、失効に関する事もきっちり
identifies an Authenticode certificate as either containing a deceptive name or as being used to promote malware or unwanted software, Microsoft will contact the responsible CA and request that is revoke the certificate.
実際に使用された場合に限定して書いてある。
これが普通でしょ。そらま、セキュリティインシデントの定義には、最終的にマイクロソフトが問題と考えるそのほかの理由、みたいな要件も入ってるけど、こんな風にポンポンと行使したりしない。
>そもそもがさ、GPKIなんて必要ない
まぁこれはわかる。
わかるけど、流石にケチって立てたわけじゃないで。
サイバー攻撃などの動向、自治体閉鎖網の動向とかみると、GPKIがあるべきだというのもまぁ一理あるんでないの。最近、大手認証局の不正発覚なんてのもあるし。
Re: (スコア:0)
じゃあ、やっぱり#3369611 [srad.jp]が原因か?
監査で認証された対応をしない、と運用担当者が言ってしまったら、「認証した奴、出てこい」状態になるだろう。
Re: (スコア:0)
mozilaのルート証明書には既にいくつも登録されてるんだからそれら他の認証局は同じ条件をクリアしてるでしょ。
Firefoxを使わなければいい (スコア:0)
はい解決
Re:Firefoxを使わなければいい (スコア:2, 参考になる)
ブラウザとは関係なく、AndroidはもちろんLinuxディストリビューションなどで広くMozillaのCA認証が採用されているっぽいですが
Re: (スコア:0)
全部ゴミ箱にすてればいいじゃんか。
Re:Firefoxを使わなければいい (スコア:1)
Makoto Kato氏のツイート [twitter.com]によると、Android全滅っぽいです。
Re:Firefoxを使わなければいい (スコア:1)
話の繋がりがよくわからない。
Androidって必要ならユーザーが証明書のインストールできるし、Firefoxがデフォルトブラウザというわけでもないし、Googleって今はもう(影響力はあるにせよ)Mozillaのメインスポンサーじゃないし、ましてやMozillaの判断基準にあわせてGPKIを排除しなきゃいけない理由もなかった筈だけど。
Re:Firefoxを使わなければいい (スコア:2, 参考になる)
それはFirefoxでも可能ですよ。
さっき、手元のAndroid 7.0 + Chromeで試してみましたけど、Firefoxと同様に警告画面が表示されました。
話の繋がりがよくわからない。
AndroidはMozilla CA Certificate Store [mozilla.org]を信頼済みルート証明書セットとして採用している。
Re:Firefoxを使わなければいい (スコア:2, 参考になる)
FirefoxやThunderbird以外でも広く使われてる
Linux機のパッケージを更新しているとca-certificatesというのを見かけると思うけど、あれがMozillaの認証局リスト
Re:Firefoxを使わなければいい (スコア:1)
なるほど、Mozillaの認証局リストを使ってるのですね。
んー、でも現行機種はともかく、将来的にはAndroidだと、国内キャリア販売分はキャリアが証明書インストールして売る、とかはできそう、なのかなぁ。それでいいのかって気もするけど。
右にならえ (スコア:0)
韓国みたいな独自ガラパゴス路線へ行く可能性が微レ存
ご高説ごもっとだけど (スコア:0)
GPKIが必要なのは確かなので、結局どーすりゃいいのさ。
Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。
Re:ご高説ごもっとだけど (スコア:2)
今はLet’s Encryptという便利なものがあるんですよ
認証?ドメイン認証してれば政府だとわかるでしょ(雑)
Re:ご高説ごもっとだけど (スコア:1)
自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。
つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:0)
詰まるところ、そこなんですよね。
そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?
「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?
官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、
と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?
Re: (スコア:0)
郵便みたいに、あらゆる手続きに無くてはならないサービスだから。
どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、
その企業が変な所に買収されないように、とか色々と考えなきゃならない。
と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。
Re:つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:2)
そんな大層な話じゃなくて、総務省のB-CASや財務省のe-TAXと同じように、「国」の許認可や認証を使っての、天下り利権を構築したいだけなんじゃないですかね。経産省あたりが。
うまく構築できたら、外郭団体なり経営実態のあやしい関係会社なりが日本国内の企業や団体のSSL鍵の認証を一手に仕切って(国が認めた以外のSSL鍵は使用禁止とかの法律で裏付けるようにして)、ボッタクリ価格で認証するようにするんですよ。
Re: (スコア:0)
理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。
まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。
Re:ご高説ごもっとだけど (スコア:1)
一つの解決策としては、その昔GeoTrustとかがやってた「クロスルート証明書」という方式があります。
ブラウザ内にルート証明書が入っていなくても、他の証明機関から証明してもらうことで、
とりあえず中間証明書として使用しよう、というものです。
まぁ、要するに日本政府にやる気があるかどうか、という話に行き着くわけですが。
Re:ご高説ごもっとだけど (スコア:1)
仮にそうなったとしたら、各メーカーがGPKIのRootCertを入れて出してくるでしょ。
いまだって、技適を取らないと売れないわけだし。それよりはずっとカンタン。
Re:ご高説ごもっとだけど (スコア:1)
その中国や米国のメーカやで。
今でも、(日本向けに販売する機械なら)技適とかPSEとかちゃんと取ってるでしょ、どこで作ってるかは関係ない。取ってないなら、日本では売れないだけ。
#AppleはもうGPKIのRootCert入れとるけどね。
Re:逆に28号 (スコア:0, 荒らし)
これが問題となってFirefoxが逆に非対応WEBブラウザになってます。