アカウント名:
パスワード:
Firefox のリリース版の Windows 版インストーラパッケージに限って言えば(わたしがそれしか知らない)、Windows Explorer から検証可能な形での電子署名が施されています。 また、それとは別に GnuPG による電子署名も施されています(分離署名形式になっています)。
もちろん、 GnuPG を使うにしても、その GnuPG が本物なのかとか、署名の検証に必要な公開鍵が本物なのかとか、いろいろありますが :-)
それで OpenSSL 辺りの、やはりちょこちょこと穴が見つかっているものを採用する、と?
Firefox や Opera の場合には、同一のコードベースでマルチプラットフォームに対応するためという方が理由としては大きいでしょう。
Firefox などのコード品質は Bugzilla を見るまでも無く決して高いとは言えないものであって、余程枯れて来ている Windows 回りのコードを利用したほうが安全感が高いと言われても仕方がないでしょう。
ざっと「Windows 証明書 脆弱性」で検索しても MS02-48/50 くらいしか引っかからない上に、Firefox も同様に出てきます。また、Opera も 9.02 で偽造 SSL 証明書を正規なものとして受け入れる問題が解決している (2006/ 9/22 リリース!) とか、つい最近の話であって、「そんな脆弱なものは使わない」と言うにはあまりにも説得力不足ですよ。
この状況に対して、FirefoxやOperaのどっちかでもここで追従して国の証明書を自分たちのブラウザ経由で発行できるように動けば、 「国の認証を取得した信頼できるウェブブラウザです」とか広告を貼ったりして、それだけブラウザの国内シェアが上がるかもしれないよ。
MSはこれで公式に国の認証局の認証を受けたOSとブラウザを持つ企業になったわけで、
MSがGPKIルート証明書の配布を認めたということを認証したと呼ぶのであればそうでしょうが、それはPKI技術的な認証ではないですね。
技術的な効果では、MSがルートCA、GPKIが中間CAとなるわけではなく、MSまで検証しに行かないってことです。
MSがGPKIの実在証明を行っているということではないってことです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
Firefox や Opera で使えない時点で (スコア:0)
自分でエクスポートとインポートをすればいいかもしれませんが。
Re:Firefox や Opera で使えない時点で (スコア:3, すばらしい洞察)
それともWindowsのデジタル証明書ってアプリからは一切参照できないものなの?
Re:Firefox や Opera で使えない時点で (スコア:1, 興味深い)
Windowsの証明書なんかどこまで信用できるのかわからないし、証明する基準なんて用途ごとに違ってきますから。
Javaはランタイムで一括で持ってる部分もあるな。
Re:Firefox や Opera で使えない時点で (スコア:0)
さらに、Windowsだって、自分で購入した人よりは、プリインストールの人の方が多いわけで、そうすると、購入店の信頼性とか・・・
以下続く
Re:Firefox や Opera で使えない時点で (スコア:1, 参考になる)
インストーラーは証明書ついてなかったっけ?
Re:Firefox や Opera で使えない時点で (スコア:0)
インストーラには証明書ついてますね。拡張に署名がつかないのは相変わらずですけど…。
Firefox のリリース版パッケージに施されている電子署名 (スコア:0)
Firefox のリリース版の Windows 版インストーラパッケージに限って言えば(わたしがそれしか知らない)、Windows Explorer から検証可能な形での電子署名が施されています。 また、それとは別に GnuPG による電子署名も施されています(分離署名形式になっています)。
もちろん、 GnuPG を使うにしても、その GnuPG が本物なのかとか、署名の検証に必要な公開鍵が本物なのかとか、いろいろありますが :-)
Re:Firefox や Opera で使えない時点で (スコア:0)
JavaはJRE 5.0からデフォルトでブラウザの(IEを使っていればIEの)証明書ストアを参照するように なりました [takagi-hiromitsu.jp]が?
リンク先にあるとおり証明書を一括して管理したいというのは自然な願望でしょう。
それにJavaの証明書ストアはThawte Personal Freemail CAでコード署名ができる [keio.ac.jp]設定になっているので危険きわまりないです。まあCNがランダムな文字列になるなのでちゃんと署名を確認していれば怪しいということは分かると思いますし、EK
Re:Firefox や Opera で使えない時点で (スコア:1, 参考になる)
それで OpenSSL 辺りの、やはりちょこちょこと穴が見つかっているものを採用する、と?
Firefox や Opera の場合には、同一のコードベースでマルチプラットフォームに対応するためという方が理由としては大きいでしょう。
Firefox などのコード品質は Bugzilla を見るまでも無く決して高いとは言えないものであって、余程枯れて来ている Windows 回りのコードを利用したほうが安全感が高いと言われても仕方がないでしょう。
ざっと「Windows 証明書 脆弱性」で検索しても MS02-48/50 くらいしか引っかからない上に、Firefox も同様に出てきます。また、Opera も 9.02 で偽造 SSL 証明書を正規なものとして受け入れる問題が解決している (2006/ 9/22 リリース!) とか、つい最近の話であって、「そんな脆弱なものは使わない」と言うにはあまりにも説得力不足ですよ。
Re:Firefox や Opera で使えない時点で (スコア:1, すばらしい洞察)
おいおい、ソースが公開されているものと公開されていないものを比較して品質吟味するってどうよ。
Re:Firefox や Opera で使えない時点で (スコア:0)
Re:Firefox や Opera で使えない時点で (スコア:0)
また出鱈目を。根拠は?
Re:Firefox や Opera で使えない時点で (スコア:0)
ブラウザがデフォでGPKIを信頼するかどうかは別でしょう。
PKI知らないユーザを考えればブラウザデフォが一番でしょうが、証明書を信頼するかどうかはブラウザのポリシー次第だと思いますよ。
これって立派なビジネスチャンスじゃないか? (スコア:0)
この状況に対して、FirefoxやOperaのどっちかでもここで追従して国の証明書を自分たちのブラウザ経由で発行できるように動けば、
「国の認証を取得した信頼できるウェブブラウザです」とか広告を貼ったりして、それだけブラウザの国内シェアが上がるかもしれないよ。
Re:これって立派なビジネスチャンスじゃないか? (スコア:0)
OSとブラウザが国の認証局を「認証」したのです。
Re:これって立派なビジネスチャンスじゃないか? (スコア:0)
Re:これって立派なビジネスチャンスじゃないか? (スコア:0)
という言い方をしておかないと、お役人様たちの頭に血がのぼってしまいまつからね。
Re:これって立派なビジネスチャンスじゃないか? (スコア:0)
MSがGPKIルート証明書の配布を認めたということを認証したと呼ぶのであればそうでしょうが、それはPKI技術的な認証ではないですね。
単純にMSに配布OKと認められたってことだと思います。 しかもMSの配布基準自体は外部のWebTrust for CA使ってて、それ満たしてれば配布するよって言ってるだけですし。
なのでMSが認証をしたのではないと思います。
Re:これって立派なビジネスチャンスじゃないか? (スコア:0)
Re:これって立派なビジネスチャンスじゃないか? (スコア:0)
技術的な効果では、MSがルートCA、GPKIが中間CAとなるわけではなく、MSまで検証しに行かないってことです。
Re:これって立派なビジネスチャンスじゃないか? (スコア:0)