これまでの LGPKI は、実際は LGWAN 運営協議会が CA を運用しているのに、地方自治体毎に名目上の「認証局」と呼ばれる組織を置くという変わった形態でした。
それがネックで WebTrust for CA 監査をパスできないので、LGWAN 運営協議会は今年4月から LGPKI Application CA (第二世代) を稼働させ、その第二世代 CA では認証局は LGWAN 運営協議会に集中化、各地方自治体は「LGPKI 登録分局」という位置づけに変わっています。
(略)
あとは、WebTrust for CA をパスすれば大手を振って MS のルート証明機関リストに登録してもらえるわけですが、今回は内閣官房からの要請を受け、「もうすぐパスする」という前提で特別対応を行われたようですね。
>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1, 参考になる)
まったく無関係の個人・法人が「○○銀行」のサイトを偽造しているかも、という可能性の意味で。
ところで、このFirefoxの警告、オプション⇒セキュリティで「偽装サイトとして報告されているサイトを表示するときに警告する」とか、
その下の警告メッセージで「強度の低い暗号化を使用しているページを表示するとき」のチェック
(デフォルトで入っている)をなくすと消えたりしないの?
#過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?
本家の「ユーザビリティ」がどうの、とタレコミ本文のリンク先コメントみると、
この警告見たくないからFx2.xにダウングレードしたってあるけど、
それよりはFx3.xでこのオプション無効にする方がまだマシかと思うのだが。
Re: (スコア:1, 参考になる)
>#過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
>##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?
探し回っていたら見つけました。元はもじふぉのフォーラム [firehacks.org]で、
>2. 「オレオレ証明書」を使っているサイトにアクセスします。
> 例: http://www.pref.saga.lg.jp/citizenH/help/shinseinavi/shinseisho.htm [saga.lg.jp]
さすが佐賀県!2007年5月19日に投稿されたネタなのにまだオレオレ証明書だ!やってくれるぜ!
で、やってみましたが、「偽装サイトとして報告されているサイトを表示するときに警告する」「強度の低い暗号化を使用しているページを表示するとき」のチェックを外しても警告がでました
Re: (スコア:1)
LGPKIの証明書はIEには2006/9から入ってる [srad.jp]ので普通に見える。
むしろfirefoxがオクレテルというべきでは。
たとえば携帯電話は、古い機種には新興認証局が入っていない [kaisei.org]ので、PCや新機種では正常なサイトでもオレオレになってしまうらしい。
とっとと(少なくとも日本語版の)公式ビルドに入れればいいと思うけど、
Re: (スコア:1, 参考になる)
つい最近WebTrust for CAに通ったばかりのCAをなんでそんなに前から信頼できるんだ?とか、政治的圧力に負けてポリシー曲げたんだと解釈されるよりなんぼかマシでは?
あ、2006年から今までLGPKIの運用体制が改善されたかどうかは調べていません。もし変化なしなら、Microsoftに先見の明があったというか独自調査をした上でのことだったんでしょう。改善した上で通ったのなら、2006年時点で入れるのは時期尚早で利用者を危険にさらす行為だったということになります。
いずれにせよ、WebTrust for CAに通ってしまった以上日本の利用者のニーズに応えて証明書を同梱するのはMozilla Japanの行動力(ともちろんLGPKIの協力)にかかっており、これから遅れる分は「オクレテル」と指摘されても仕方ありません。
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:2, 参考になる)
IEに入ったときの記事のコメント [srad.jp]
ところが実際にパスしたのはつい先日なわけで、むしろfirefoxは通常の対応でIEがフライングしたといったとこでしょうか。