パスワードを忘れた? アカウント作成
12906455 story
Firefox

Windows版Firefox 49ではWindowsの証明書ストアにインストールされたルート証明書を使用可能に 26

ストーリー by headless
証明 部門より
Windows版Firefoxの今後のバージョンでは、企業の環境でインストールされたルート証明書の扱いが変更されるそうだ(Mike's Musingsの記事Softpediaの記事)。

Windows版のFirefoxはWindowsの証明書ストアを使用せず、独自の証明書ストアを使用している。そのため、企業のシステム管理者がプライベートネットワークやアプリケーションで使用するルート証明書をWindowsにインストールした場合、Firefoxからはアクセスできなかった。

この問題を解決するため、Firefoxの今後のバージョンではWindowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。また、これによりWindows 8.1のMicrosoft Family Safety機能もFirefoxで使用可能となる。

現在この機能はベータ版のFirefox 49でテストが行われている。オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 企業用ね (スコア:3, 興味深い)

    by jizou (5538) on 2016年09月05日 1時12分 (#3074945) 日記

    なるほど...
    なんでFirefox で企業用なんだとおもったら、

    IEの更新は止まって、Edgeがあのていたらく...
    Googleに何が仕込まれているかわからないChromeは社内用にはちょっと。
    そこで Firefox に白羽の矢がたつのですね。

    不思議な流れだなぁ。

    • by Anonymous Coward

      そんな流れはない。

      IEにネチネチケチをつけたり、「Googleに何が仕込まれてるかわからない」なんて信じてるのは、すらどの常連だけだから。
      たいていの企業は、IE(Google Appsを導入していればChrome)を使って満足しているよ。
      Edgeなんて、むしろ迷惑に思った企業がほとんどなんだが、その感覚は学生にはわからんかもね。

      今回のFirefoxの件も方向性は正しいと思うが、いくらなんでも遅すぎだなあ。

      #個人PCではFirefoxユーザーだけど、会社に導入しようとは思わんな。

    • by Anonymous Coward

      FirefoxはESR版があるのが大きいよ

      Web系のテクノロジを使ったシステムを納入されるとき、FirefoxのESR版を標準として提案されることが結構ある。

      IEでも、Chromeも当然動きはするけど、Firefox ESR版なら当社のシステムで使用する部分までだったらFirefoxそのものもサポートする、と言う条件を提示してきて、Firefoxに誘導してくる業者がそれなりにいる。で、ユーザ側は特にこだわりもない事が多いので、半ばそのシステム専用のブラウザとして導入すると言うケースがあるみたい。

      Chromeは何が仕込まれているかわからないと言うより、アップデートポリシーが独裁的プロセスで決定されていて、仕様が簡単に変わる、アップデートをコントロールしづらい、と言うのが大きいみたいね。一応Chromeにもfor workと言うエディションがあるようだけど…。

      • by Anonymous Coward

        オープンソースソフト(自由ソフト)の良さを上手く活かしてるって感じかなぁ…。

      • by Anonymous Coward

        Chromeは実際仕様がころころ変わってやってらんない
        適当でもどうにでもなるwebサービス以外は正直使うのはきっつい

  • Firefox のセキュリティ上の優位点としては FIPS を有効にすると証明書ストアにマスターパスワードを効かせることができることだと思っている。とくにクライアント証明書については重要だと思うので残念。

    # 本当に暗号化しているかどうかは未確認ですが…

    • 自分用のクライアント証明書じゃなくて、接続先のサーバのCAルート証明書とかじゃないかと。
      社内CAとかの。

      親コメント
      • 証明書を暗号化するのがセキュリティ上の優位点ってこと?
        だとすると、一体なにをいってるの?わけがわからない。

        親コメント
        • パスワードで認証するサイトがあったら、たとえブラウザを他人が触れたとしてもパスワードを知っている人が入力するまでログインできませんよね。しかしクライアント電子証明書認証であれば、たとえば IE ならブラウザを操作するだけで認証ができてしまいます。(ですよね?)

          Firefox の独自証明書ストアであれば FIPS 設定をすることで電子証明書もマスターパスワードなしでは利用できないように設定できるということです。

          親コメント
          • それは分かる(けど、Windowsの証明書ストアってクライアント証明書の利用時にPIN入力必須にできないっけ?)けど、ここではルート証明書の話をしているから。

            元コメントでも、「とくにクライアント証明書については重要」と書いてあるけど、そもそも秘密鍵は秘匿する必要があるけど、証明書自体を暗号化する意味ってないよね。

            クライアント証明書による認証時にPINが必要なのも、厳密には「証明書」ではなく「秘密鍵」を保護したいわけだし。

            親コメント
    • by Anonymous Coward

      証明書にアクセスするときにパスワードを必要にできることのどこが優位性なんだよ

  • by Anonymous Coward on 2016年09月05日 7時01分 (#3074980)

    企業向けと言ってるけど、
    最近のkasperskyが期限切れの独自証明書をFirefoxにインストールしてgoogleが見えなくなるとかあったからその対抗策何で花かなと

  • 今以て対応がなされないからもう一生ダメかもわからんねと思ってたんだけど、意外な形で結着しそうってことかな?
    http://security.srad.jp/story/13/12/10/0917220/ [security.srad.jp]

    # Windows以外? 誤差誤差

  • by Anonymous Coward on 2016年09月04日 21時03分 (#3074836)

    オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。

    グループポリシーでそれを設定できなきゃ企業で使える訳がなかろう。

    • by Anonymous Coward on 2016年09月04日 21時14分 (#3074846)

      たしかFirefoxってMCDまたはアドオン追加によるグループポリシー対応などで集中管理できたと思うんだが

      親コメント
      • by Anonymous Coward

        ユーザーの半分以上を占めるであろう企業ユースに必須と言ってもいいグループポリシーに、アドオンで対応とは…
        Mozillaにとってエンタープライズ対応ってほんと優先度が低いんだな。
        そのアドオンは一体どうやって無人配布すんのよ。
        まあ、Firefox本体でもMSIの用意はないらしいからどうしようもないか。

        • by Anonymous Coward on 2016年09月04日 23時42分 (#3074913)

          現役PC管理者だけど、サイレントインストール自体は可能だからADのログオンスクリプトでいけるし、
          設定自体もMCD用のクライアント側でファイル配置をこれもログオンスクリプトで仕込めばOK。
          後はHTTPサーバー側で制御できる。

          ちなみに、なんでもADのグループポリシー「だけ」でやってるやつなんて実際にはいないよ。
          System Center Configuration Managerですら使いにくい。
          ソフトウェア設定関連は結局スクリプト+タスクマネージャーと併用となるパターンが多いね。

          親コメント
          • by Anonymous Coward

            ×タスクマネージャ
            ○タスクスケジューラ

        • by Anonymous Coward

          MCDについて一言どうぞ

    • by Anonymous Coward on 2016年09月04日 21時22分 (#3074853)

      テストという言葉の意味がわからんのか。実運用ではMCDを使うに決まっているだろ。

      親コメント
  • by Anonymous Coward on 2016年09月04日 22時27分 (#3074887)

    たいとるおんりー

  • by Anonymous Coward on 2016年09月05日 12時34分 (#3075115)

    >Windowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。

    OSの証明書ストアより、アプリ自身のセットアップの方が信用できると考えてるのか。
    なんか日本国債が信用できないからお金は全部普通預金です、みたいな話だな。

    • by Anonymous Coward

      OS毎にOSに依存した実装より自前で持った方がサポートが簡単だと思ったんじゃねぇの。
      猫も杓子もSSL化しようと言い出して、ルート証明書追加だの取り消しだの頻繁に起こる世界を想像してなかったのかも。

    • by Anonymous Coward

      Lenovo Superfishの問題のように、よくない証明書がプリインストールされて出荷される場合もあるので
      独自の認証による証明書ストアは頼りになる場合もある

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...