Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに 56
ストーリー by hylom
正しいやり方をしようとしない日本の政府機関 部門より
正しいやり方をしようとしない日本の政府機関 部門より
FirefoxはGPKI(政府による公開鍵基盤)に対応しておらず、一部政府系サイトの閲覧時に警告が表示されることが以前から問題となっている(過去記事)。この問題を解決できるよう活動は行われているものの、この状況が改善することはまだしばらくないようだ(IIJ 大津繁樹氏によるTweet、「yumetodoの旅とプログラミングとかの記録」ブログ、Bugzillaでの議論)。
Bugzillaではこの問題に対するステータスが2月27日に「WONTFIX」(修正予定無し)へと変更されている。長い議論となっているが、証明書を発行する認証局に対する基本要件(Baseline Requirements、BR)に準拠していない時期に発行された証明書がまだ有効なままで残っているのが非対応の理由となっている。
この問題がWONTFIXとなったことを受けて、GPKI側は問題のある証明書を無効化する準備をしているとしているが、これに対しMozilla側はこういった証明書が無効化されずに残っていること自体がBR違反であるとして、無効化を行ったとしても必ずしもGPKIに対応するわけではないとしている。
Baseline Requirements (スコア:2, 参考になる)
あー、これか。
Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates [cabforum.org][※PDF]
証明書の非準拠を認識した後、24時間以内に失効させられなきゃCAを名乗る資格がない、と。
「言われたからやった」じゃ駄目なわけね。
Re: (スコア:0)
逆に Microsoft や Google が GPKI に対応しているのはどういう基準からなのか気になる。
Re:Baseline Requirements (スコア:1)
Re: (スコア:0)
MicrosoftやChrome(基本的にMS準拠だけど独自のブラックリストはある)が許しててMozillaが許さないのは、mozillaが規約に厳格すぎて、お役所対応過ぎるように思える
強い影響力のあるリーダーがいない体質上政治的決断ができず、厳格な規約に寄りかからないと判断できないんだろうけど
Re: (スコア:0)
まあ、でもMozillaが突っぱねなければGPKIは問題のある証明書の失効させることもなかったわけで、こういうブラウザベンダがある程度のシェアを持っていることは重要なことだと思いました(小並)
# んなもん関係なしにFirefox使い続けていますが
Re: (スコア:0)
MSに関してはGPKI最初の時「もうすぐちゃんとやるから」的に「政治力で」ねじ込まれてなかった?
ザケンナコラ!と思ったがこういう論理的なモノに力でねじ込む方が問題なんだよね。
Re: (スコア:0)
しかも「言われたからやった」どころか「言われたから準備してる(まだやってない)」……
Re:Baseline Requirements (スコア:1)
日本の伝統芸「そば屋の出前」を認証局にも適用してみますた
Re: (スコア:0)
Mozillaがそう言ってるだけだろそれ。
そもそも申請する側は、監査を受けて問題が無いとして申請しているわけで、非準拠を認識はしてないんじゃないの。単なる見解の相違。
それでもそう言うなら対応するから少し待って、って言ったら、24時間以内じゃないからもうやめた、なんて姿勢がまともなんかね。
前あった話みたいに、google.comの証明書を作ってましたとかそう言う実際に問題が出てる話ならまぁわかるよ。
でもさ、見解の相違レベルでMozillaが言ったあと24時間で対応しなきゃ駄目、ってそりゃないでしょ。
政府だって昔jbeef先生に指摘されたこと
https://web.archi [archive.org]
Re: (スコア:0)
そんな話じゃない。
元々、発行済みの非準拠の証明書は失効させるべきだ、と言われたのに対し、
そのうち期限切れで失効するから、そうなったら問題ないよね、みたいな回答したのが原因。
非準拠を認識したのであれば失効させるというBRに対し、こんな回答したらそりゃ守る気ないだろと認識されるだろう。
Re: (スコア:0)
だから、そんな話じゃないって。非準拠って主張したのMozillaだけでしょ?
それって、24時間以内に対応しなきゃいけないインシデントなの?Mozillaがそう言ってるだけでしょ?って事よ。
#タレコミにあるブログの翻訳はかなり恣意的なんで丸呑みしないほうがいいと思うぞ
#筆者自分でも最初に理解してないって注意書きしてくれてるんだからさ
上のコメントに上がってる「4.9.1.1. Reasons for Revoking a Subscriber Certificate」には失効させなきゃいけない理由が羅列されている。
その具体的に羅列された方には該当するような話はない。
そのなかで、今までの行動につじつま
Re: (スコア:0)
内容に問題のある証明書が結構ある [crt.sh]んですが、それを正す必要はないと?
すくなくとも、受け入れ側としてはコレらに懸念があるから解決しろ言われてんのに放置っていってるんじゃ、そりゃ受け入れ側は受け入れられないって言うでしょ。
あと、別にまとめ読んだんじゃなくて、メールのやりとり見ての感想だからね。
Re: (スコア:0)
だからそれ、4.9.1.1. Reasons for Revoking a Subscriber Certificateの具体的な項目に引っかかってないでしょうって話をしているんだけども。
結局Mozillaが独断で問題と言っているだけでしょうが。
あなたがリンクを張ったページを見ると、MozillaのCA認証ストアとそれを利用している派生の環境以外では、概ね承認されてることも読み取れるよ。
#そんな風に読み取れるのに「まとめ読んだんじゃない」って明らかにアレだけど
#ちょっと面の皮厚すぎつーか、目的がわからんつーか
Re:Baseline Requirements (スコア:2, 参考になる)
だまされる人がいると困るので。
Baseline Requirements 1.5.4:
> 4.9.1.1. Reasons for Revoking a Subscriber Certificate
> The CA SHALL revoke a Certificate within 24 hours if one or
> more of the following occurs:
...
> 9. The CA is made aware that the Certificate was not issued in
> accordance with these Requirements or the CA's Certificate
> Policy or Certification Practice Statement;
#3369654 crt.shへのリンク:
> BR certificates with organizationName must include either localityName or stateOrProvinceName
戻ってきて、Baseline Requirements 1.5.4:
> 7.1.4.2. Subject Information – Subscriber Certificates
...
> f. Certificate Field: subject:stateOrProvinceName (OID: 2.5.4.8)
> Required if the subject:organizationName field,
> subject:givenName field,
> or subject:surname field
> are present and
> subject:localityName field is absent.
Subject の organizationName があるのに subject の stateOrProvinceName も
subject の localityName もない証明書は、 Baseline Requirements の規定に準拠していません。
なので、 4.9.1.1. の 9. に該当し、失効されるべきです。
Re: (スコア:0)
CP/CPSの失効事由の"証明書の内容、利用目的が正しくない場合"に違反してるんじゃないの?
このあたりは詳しくないから、他かもしれんけどさ。
まぁ、Mozillaの判断として正しくないって言ってるというのはあるけど、それにしたところで受け入れ側がMozillaなんだから説得できる説明はしないとダメでしょ。
しかし、むしろそんな深読みされる理由がこっちは分からん。
あのリンクから辿れる証明書にまだ有効なのがあるのは問題でどうするかって、Mozillaの方から言ってる話じゃないか。
Re: (スコア:0)
それらは全部Mozillaが主張しているだけって話しかしてないんだけど。その張ってあるのもメールのリンクのコピペなだけじゃん。
手を変え品を変え強弁して、挙げ句のはてにだまされないように、って勘弁してよ。ほんと何が目的なの。過剰な弁護はコミュニティに死をもたらすよ。
あんたがコタツでゲスパーして妄想した結果よりも、厳然たる事実としてEYによって実地の監査が通ってること、それを根拠に各社は承認をしてるが、Mozillaだけが拒否しているという動かしがたい事実をまず認識してよ。
んで、それを覆すなら、従来証明書に疑義がある時、MozillaはCANICがやらかしたときみたいに他社に対しても働きかけをするのが慣例でしょ?そして各社協調するじゃん。
さらに言えば、まずEYが監査した所はもう一度リジェクトして再監査しなきゃなんないでしょ。それこそ重大なポリシー違反で、ルート証明書が信用できないようなもんなんだから。何でしないのよ。
Re: (スコア:0)
煽りが多い
極論を持ち出す
0点
国産ブラウザとか称して対応する fork でも作ったら? (スコア:0)
お好きでしょう、そういうの
Re: (スコア:0)
どこの誰がどういう理由で好きなんですか?その判断の根拠はなんですか?
Re: (スコア:0)
日の丸ボブスレーという前例にあやかって
日の丸ブラウザというのもいいでしょ
エライ人ほどはそういうのは好きだと思うよ
Re: (スコア:0)
KOMEIブラウザを思い出した
Re: (スコア:0)
はい
そもそもCommonNameが悪すぎる (スコア:0)
ApplicationCA2 Rootって何だよw
この名前で日本政府が署名してるってことを連想できる人ってどこにいるの?
意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:0, 荒らし)
世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてる
https://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org]
けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!
正しいやり方をしようとしない日本の政府機関が悪い!!!
そう突っ張るのは自由ですよ。
ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。
でも困るのってユーザじゃないの?
例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?
一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているのに、意地の張り合いでユーザを危険にさらしてどーすんのさ。
PwCあらた監査入って認証してるけど、Mozillaが許さないという事で発生する問題点と、
Mozillaの見解には違反してるけど、PwCあらたの監査結果を信用して証明書を加えることで発生する問題
定量的に見て、どちらが問題を小さくできるかは明白じゃない?
それとも、立法措置などで強制される方をお望みなのか?
それは誰も望んでないと思うけど、Mozillaはそっちに突き進んでること理解しているのか?Mozillaが掲げる自由なインターネットという最も重要な理念に対して、こんな枝葉の部分で意地張っていいことあんのかよ。
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:1)
と言うか、PwCあらたって、東芝の粉飾決算問題で全く問題ない。って監査結果出して、株主などから文句が出て降ろされた監査法人じゃないですか。
監査事業がいい加減と言うか、監査を依頼した側に都合悪い話はなかったことにしてきてる会社では…
--暮らしの中に修行あり。
新しいblogはじめました。 [hateblo.jp]
Re: (スコア:0)
そうは言うがな、大佐。
GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。
そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。
日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。
少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?
Re: (スコア:0)
Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。
もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。
日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。
#そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが
#本質はそこじゃないのでスルーする
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:1)
例えば、他国がGPKIみたいなことをやったとする。
24時間以内に対応できない状況で。
それをFirefoxにねじ込んできたら、迷惑だと思わん?
「お前の国の中だけでやってろ」って。
そもそもがさ、GPKIなんて必要ないものじゃん。
NASA見てみ? COMODOだぜ?
https://www.nasa.gov/ [nasa.gov]
日本の公的機関だって、別にCOMODOでも何も困らんわけで。
ようは、「証明書に金払うのが嫌で、ケチって自前認証局を立てることにした」のがGPKIでしょ。
維持費を甘く見てたツケを払わされてるわけだ、今
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:1)
そら確かに迷惑だが、そーじゃなくて、24時間以内に対応ができないって言ってるの、Mozillaだけじゃねーの?って話よ。
このまんまじゃ、ルールも監査制度も知らねえ、そんなことよりMozillaが指摘したらら24時間以内に対応しろってそんな条件になってるけど、マジMozillaそれでいいんか?それMozillaの基本ミッションにも障害になってしまうんじゃね?って事よ。
政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてるわけよ。さっき見たらPwCじゃなくEYになってたど、EYはPwCよりもこの分野で実績あるみたいだからこっちのがよいはず。
で、他じゃこれで十分だっていってるわけよ。
たとえばMSはこう
http://aka.ms/RootCert [aka.ms]
簡単に言うと、webtrustも含む認めたルールに従った監査を正しく受けたレポートを添えて申請せよってだけだぜ。
んで、失効に関する事もきっちり
identifies an Authenticode certificate as either containing a deceptive name or as being used to promote malware or unwanted software, Microsoft will contact the responsible CA and request that is revoke the certificate.
実際に使用された場合に限定して書いてある。
これが普通でしょ。そらま、セキュリティインシデントの定義には、最終的にマイクロソフトが問題と考えるそのほかの理由、みたいな要件も入ってるけど、こんな風にポンポンと行使したりしない。
>そもそもがさ、GPKIなんて必要ない
まぁこれはわかる。
わかるけど、流石にケチって立てたわけじゃないで。
サイバー攻撃などの動向、自治体閉鎖網の動向とかみると、GPKIがあるべきだというのもまぁ一理あるんでないの。最近、大手認証局の不正発覚なんてのもあるし。
Re: (スコア:0)
じゃあ、やっぱり#3369611 [srad.jp]が原因か?
監査で認証された対応をしない、と運用担当者が言ってしまったら、「認証した奴、出てこい」状態になるだろう。
Re: (スコア:0)
mozilaのルート証明書には既にいくつも登録されてるんだからそれら他の認証局は同じ条件をクリアしてるでしょ。
Re: (スコア:0)
そもそも「政府系ルート証明書」ってどうなの?
インターネット発祥の地でも米国政府っぽい証明書は見当たらないんだけど。
Re: (スコア:0)
そうやってワガママな奴に毎回配慮していたらルールがルールじゃなくなるだろ
ユーザー数の減少にビビッて日和見対応しなかったFirefoxはむしろ褒められるべき
Firefoxを使わなければいい (スコア:0)
はい解決
Re:Firefoxを使わなければいい (スコア:1)
ブラウザとは関係なく、AndroidはもちろんLinuxディストリビューションなどで広くMozillaのCA認証が採用されているっぽいですが
Re: (スコア:0)
全部ゴミ箱にすてればいいじゃんか。
Re: (スコア:0)
そして誰もいなくなった
#捨てるんじゃなくて拾わないと
Re: (スコア:0)
Makoto Kato氏のツイート [twitter.com]によると、Android全滅っぽいです。
Re:Firefoxを使わなければいい (スコア:1)
話の繋がりがよくわからない。
Androidって必要ならユーザーが証明書のインストールできるし、Firefoxがデフォルトブラウザというわけでもないし、Googleって今はもう(影響力はあるにせよ)Mozillaのメインスポンサーじゃないし、ましてやMozillaの判断基準にあわせてGPKIを排除しなきゃいけない理由もなかった筈だけど。
Re:Firefoxを使わなければいい (スコア:2, 参考になる)
それはFirefoxでも可能ですよ。
さっき、手元のAndroid 7.0 + Chromeで試してみましたけど、Firefoxと同様に警告画面が表示されました。
話の繋がりがよくわからない。
AndroidはMozilla CA Certificate Store [mozilla.org]を信頼済みルート証明書セットとして採用している。
Re:Firefoxを使わなければいい (スコア:2, 参考になる)
FirefoxやThunderbird以外でも広く使われてる
Linux機のパッケージを更新しているとca-certificatesというのを見かけると思うけど、あれがMozillaの認証局リスト
右にならえ (スコア:0)
韓国みたいな独自ガラパゴス路線へ行く可能性が微レ存
ご高説ごもっとだけど (スコア:0)
GPKIが必要なのは確かなので、結局どーすりゃいいのさ。
Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。
Re: (スコア:0)
自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。
つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:0)
詰まるところ、そこなんですよね。
そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?
「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?
官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、
と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?
Re: (スコア:0)
郵便みたいに、あらゆる手続きに無くてはならないサービスだから。
どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、
その企業が変な所に買収されないように、とか色々と考えなきゃならない。
と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。
Re:つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:1)
そんな大層な話じゃなくて、総務省のB-CASや財務省のe-TAXと同じように、「国」の許認可や認証を使っての、天下り利権を構築したいだけなんじゃないですかね。経産省あたりが。
うまく構築できたら、外郭団体なり経営実態のあやしい関係会社なりが日本国内の企業や団体のSSL鍵の認証を一手に仕切って(国が認めた以外のSSL鍵は使用禁止とかの法律で裏付けるようにして)、ボッタクリ価格で認証するようにするんですよ。
--暮らしの中に修行あり。
新しいblogはじめました。 [hateblo.jp]
Re: (スコア:0)
理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。
まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。
Re: (スコア:0)
官報に公開鍵告示して、ついでに法律で政府のルート証明バンドルしないOSの販売やブラウザの初期インストールを禁止すればいいんじゃない?
別にFirefox使う義務もないし (スコア:0)
どうでも良いんじゃない?
他の国の政府はどうなの?
例えばトルコとかマレーシア、インドネシア、タイ、フィンランド、イラン、ハンガリーとか。。。