パスワードを忘れた? アカウント作成
13791913 story
Firefox

Firefox 64リリース、シマンテックの証明書が無効に 38

ストーリー by hylom
ついに 部門より
あるAnonymous Coward曰く、

12月11日、Firefox 64がリリースされ、以前から予告されていた通りシマンテックの証明書がついに無効になった(リリースノート)。

シマンテックが適切な確認を行わずに大量のSSL/TLS証明書を発行していたという問題に対処するもの(過去記事)。すでにGoogle Chromeではバージョン70からシマンテックが発行したSSL証明書の失効対応が開始されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年12月13日 17時05分 (#3532904)

    Firefox 64日本語版のUIには、英語のままの部分がいくつかある。
    どういう経緯でこうなってしまったのかわからないけど(ローカライズにかかわっている皆さんを非難しているわけではありません。いつもありがとうございます)、ベータ版の途中の時期にある締め切りに間に合わないと、次のメジャーバージョンアップまでリリース版の修正はしないルールのよう。

    1513259 - ja: Need to localized tab/tabbar context menu
    https://bugzilla.mozilla.org/show_bug.cgi?id=1513259 [mozilla.org]

    • by Anonymous Coward on 2018年12月13日 18時28分 (#3532960)

      オプションの「Recommend Extensions as you browse」なんて、わざと訳さなかったんじゃないかと邪推してしまいます。
      デフォルト有効なのがなんとも・・・

      親コメント
  • by Anonymous Coward on 2018年12月13日 15時36分 (#3532834)

    最近、既存認証局から委託?を受けて、大手CDN企業が自社名義で他社の証明書を発行してる問題をなんとかしてほしい
    最近はフィッシングサイトがSSL証明書つかって営業?してるが、
    だいたい大手CDN企業名義で発行された証明書を使ってる

    • by Anonymous Coward

      そういうもんだから仕方ないのでは。
      CDN業者が発行しなくなってもLet's Encryptで取るだけでしょう。
      EV証明書とか発行してる?

    • by Anonymous Coward on 2018年12月13日 20時27分 (#3533030)

      J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日
      https://note.mu/note_s/n/n517ff243e083 [note.mu]

      親コメント
    • by Anonymous Coward

      証明書入れ替えで設定ミスったのかな?あるっちゃあるのかも。
      繋いでみたけどFirefoxで普通に入れたけどな。

      • by manmos (29892) on 2018年12月13日 16時56分 (#3532898) 日記

        いや、cipher suitで(EC)DHE-RSAを使えばいいだけの話。
        証明書はRSAのままで鍵交換だけDiffie-Hellman系にするだけ。(証明書は鍵長もsignatureも十分に長いです。CAはDigiCert)

        試してみましたが、ECDHE-RSA-AES128などをproposeしてもつながりませんね。
        普通につなぐとAES256-GCM-SHA384になる。TLS1.2以上のcipersuitだからECDHEにするのは多分設定だけ。

        親コメント
        • by Anonymous Coward

          鍵交換でRSAしか受け付けないようになってるからでは?ってリプ付いてるだろ。
          だから設定かなって言ってるのに何が「いや」なのかさっぱり。
          てかなんで俺のFirefoxは普通に入れるんだ。そこを教えてくれ。

          • by Anonymous Coward on 2018年12月13日 21時04分 (#3533049)

            Firefoxの場合 [ssllabs.com]、基本的に鍵交換はECDHEじゃないとダメっぽくて、RSAじゃ受け入れないっぽい。
            ただし、互換性のためのTLS_RSA_WITH_AES_256_CBC_SHAが有効になっており、かつJ-stageもそれを再有効化したので(一番弱い方式で)つながるようになったみたいですね。

            まぁ、ECDHEを有効にするのが対応としては良いと思いますが、HWでTLS/SSL対応とかしてると、そう簡単には対応できないかな。

            親コメント
          • by Anonymous Coward on 2018年12月13日 17時51分 (#3532938)

            てかなんで俺のFirefoxは普通に入れるんだ。そこを教えてくれ。

            TLS_RSA_WITH_AES_256_GCM_SHA だった(未確認)のが、
            TLS_RSA_WITH_AES_256_CBC_SHA になってつながるようになったみたいです。

            https://twitter.com/uwabami/status/1073109389349871616 [twitter.com]

            親コメント
          • by Anonymous Coward

            証明書の入れ替えじゃなくてTLS1.0/1.1無効化作業での(おそらく見識不足が原因の)ミスだから
            「証明書入れ替えで設定ミスった」ではないっていう指摘なんじゃないの?

    • by Anonymous Coward

      J-STAGE [jst.go.jp]は、現時点では信頼される署名 [ssllabs.com]が適用されているようです。

  • by Anonymous Coward on 2018年12月14日 0時49分 (#3533158)

    Mozillaが蹴っ飛ばした日本政府の「ApplicationCA2 Root」 [it.srad.jp]が
    官報のサイトで使ってる上に、HTTPS必須になったからFirefoxやMozillaのルート証明書群を流用している
    スマホでは自分でルート証明書をインストールしなくては見えなくなった。

    丁寧に見えない場合の対応方法は書かれてるから
    民間が決めたルールを無視して、ユーザーにルート証明書をインストールさせる強硬策に方針転換したのかな?

    ちなみに各省庁、立法、司法の対応状況は、
    首相官邸→GlobalSign Root CA
    内閣官房→GlobalSign Root CA
    内閣府→GlobalSign Root CA
    復興庁→ApplicationCA2 Root
    総務省→非対応(https指定すると404。ApplicationCA2 Rootを使用)
    法務省→非対応(0秒でhttpにリダイレクト。ApplicationCA2 Rootを使用)
    外務省→DigiCert Global Root CA
    財務省→DigiCert Global Root CA
    文科省→非対応(アクセス不能)
    厚労省→DigiCert Global Root CA
    農水省→非対応(akamai.netに付与された証明書が返ってくる)
    経産省→非対応(akamai.netに付与された証明書が返ってくる)
    国交省→ApplicationCA2 Root
    環境省→GlobalSign Root CA
    防衛省→非対応(アクセス不能)

    会計検査院→非対応(https指定すると403、Baltimore CyberTrust Rootを使用している)

    衆議院→非対応(アクセス不能)
    参議院→非対応(アクセス不能)

    最高裁判所→非対応(アクセス不能)

    DigiCert Global Root CA使っている外務省、財務省、厚労省はhttpはリダイレクトされてhttpsになるけど他は両対応(非暗号化コンテンツの混在警告が出るところもあるので対応途上かもしれない)
    https強制かつMozilla系はプリインストールされていない(恐らく今後もされない)ApplicationCA2 Rootはいまのところ官報ぐらいなのかな?

    • by Anonymous Coward

      「蹴っ飛ばした」って。申請してきたからMozillaの担当者が確認の電話してくれって返したら、日本側は電話しなかったどころかその後一切コメントを残してないんだから、「役人が途中で止めた」が正確な表現だろ。

      • by Anonymous Coward

        挙句の果てに、Baseline Requirementに抵触するコメントを発したのだから、日本国政府の担当者は大変な大失態。
        このような運営者の証明書を信用する方がどうかしている。

        参考:
        Bug 474706 - Add Japanese Government Application CA Root [mozilla.org]
        GPKIよ、おととい来やがれ!(タイトルで煽るスタイル) - yumetodoの旅とプログラミングとかの記録 [hateblo.jp]

        • by Anonymous Coward

          ただ各省庁の対応見ると、見たい人には見れないと困るとこほどApplicationCA2 Rootを使っている(使おうと画策している)ようにも見える
          首相官邸や外務省の我が国の立場を広報する活動なんて、多くの人がアクセスできなければ困るのは国の方だが
          オンライン申請や代替の効かない国のデータベースにアクセスするのにルート証明書が入ってなくて困るのはユーザー側だし

          AppleとMicrosoftはApplicationCA2 Rootをプリインストールしてるようだし
          ゴリ押し進めたら、プリインストールの要望が来てMozillaが折れるか、要望がうざいからMozillaからAppleやMicrosoftに日本政府がBaseline Requirementを遵守していないって通報が入って全部外されるかどっちかになる予感。

  • by Anonymous Coward on 2018年12月13日 16時16分 (#3532868)

    ライブブックマークってなくなるんだっけ。今から拡張入れても変換されてしまったブックマークは復元不可能か…

    • by Anonymous Coward on 2018年12月13日 16時41分 (#3532884)

      該当部分はFirefox feeds backup.opmlに吐き出されてます。

      過去のbookmarkが欲しければ、プロファイル下のbookmarkbackupsフォルダに数世代残ってるはず。

      親コメント
    • by Anonymous Coward

      わたしも忘れてた。
      入れる拡張ってどれがお勧め?
      #できれば今までのライブブックマークに動作が近いものがいいな
      #完全にオフトピ(苦笑)

  • by Anonymous Coward on 2018年12月13日 16時33分 (#3532877)

    なんとなく3Dステックが実装されそうな名前ですね

    # スリーディー、ではなく さんでぃー と読む

    • by Anonymous Coward

      主人公はレッサーパンダ?

  • by Anonymous Coward on 2018年12月13日 21時51分 (#3533076)

    メジャーとかマイナーの区別なく、バージョンアップで数字をひたすら加算していくのはイマイチわかりにくい感。
    今はまだしも、3桁ぐらいになると「いまの最新はいくつだっけ」とかで悩みそうな。

  • 本来、通信の暗号化と、サーバ認証は別のはずなのに、
    通信の暗号化を行うのにサーバ認証ガセットじゃないといけないっていう、
    押し売りシステムが採用されてる

    サーバ鍵・サーバ証明書とかなくても、DH鍵交換を使えばちゃんと暗号化が可能

    次期SSL/TLSは、サーバ認証なしで通信の暗号化だけ行うってのも選択可能なシステムにすればいい

    • by Anonymous Coward

      ちょっと何言っているのか意味わかりません。
      確かに暗号化と認証は別で、認証はするけど暗号化はしない、というのは用途によってアリだと思います。
      一方で暗号化のみが有効なケースって何でしょう?
      サーバ認証でなくクライアント認証でやるというなら、
      結局、暗号化と認証はセットになるでしょうし。

      • by Anonymous Coward

        中間者攻撃を想定する必要がないが盗聴は想定する場合。

    • by Anonymous Coward

      SSL/TLSの規格上は、DH_anonが入っていて、匿名認証も可能です。

      ただ、「誰かも保証されない相手」と暗号通信できたところで、守れるものはいったい何があるのでしょうか(つないだ相手が悪意の第三者、ということも考えられます)。実用問題としては、ブラウザでも通さないようになっています。

      • by Anonymous Coward

        暗号化も認証もしない平文HTTPより、暗号化だけするHTTPSのほうがましでしょう
        またいまはフィッシング詐欺業者が当たり前のように証明書とる時代、サーバ証明の価値が大きく下がってる

        サーバ証明書はフィッシング詐欺犯名義じゃなく、大手CDN事業者名義になってることが多く、本物と区別がつかない

        • by Anonymous Coward

          暗号化も認証もしない平文HTTPより、暗号化だけするHTTPSのほうがましでしょう

          いまだこんな認識の人間がいるのか。

          相手を認証しない暗号化はMITM攻撃にたいして全く無力です。
          盗聴のリスクをまったく防止できません。

          • by Anonymous Coward
            だからMITM攻撃以外の盗聴を防止できるでしょ
            ぐだぐだ言わずに実装するだけなのに何を抵抗してるのか
            • by Anonymous Coward

              MITM攻撃以外の盗聴を防止できることに価値を見出だしてしまう人がいるからでしょう。

              • by Anonymous Coward

                開発者がそういう理解しがたい理由で無認証暗号通信という選択肢を拒むんでしょうね

                経路で盗聴されることを防ぐのと通信相手が本物であることの証明は独立したことなのに

              • by Anonymous Coward

                理解しがたいじゃなくて理解しろ。
                何度でも繰り返すが、一般に暗号化だけでは経路で盗聴されることを防ぐことはできない。
                セキュアでないものをセキュアだと思い込むのは立派なセキュリティリスクだし、
                具体的なメリットもなくセキュリティリスクを増やすのは技術者倫理に反する。

                反論するなら具体例を示してみろよ。

              • by Anonymous Coward

                盗聴が容易なアナログのコードレス電話を使うか、流通が制限されて相手が何者かがある程度保証されて、仮に送受信機が盗まれても執行処理ができる警察無線のようなシステムを選べ
                傍受は困難だけど、通話相手が何者かの保証はされていない、成りすましで電話に出られる等本質的には盗聴を防げない
                デジタルコードレス電話機みたいなのは要らないというようなもの

                認証付き暗号しか認めない。気休めの暗号なんて要らない。いやなら平文通信しろって頑固すぎる

              • by Anonymous Coward

                そうですね、頑固過ぎました。
                ここは雑談サイトなのだから、具体例に制限せず、的外れな喩え話も認めるべきでした。
                失礼しました。

      • by Anonymous Coward
        つないだ相手じゃない悪意の第三者からは守れるだろ
    • by Anonymous Coward

      すでにRFC 8164 Opportunistic Security for HTTP/2 [ietf.org]というものがあって、しかもFirefoxはこれを実装しているんだ。

  • by Anonymous Coward on 2018年12月14日 8時57分 (#3533233)

    RSSを手元で一覧で見るには最適の機能だったんだけど。
    RSSリーダーサイトは色々あるが、見出しだけにできないし、マウスホバーで別のサイトに切り替えられないし、読む速度が段違いで遅くなる。

    とりあえずLivemarks [mozilla.org]を入れてみたら、ローカルでは問題ない。
    ところがFirefox Syncに対応していない。拡張機能の設定内容はSyncの対象外だった。
    本体機能だった頃はFirefox Syncで同期していてくれたのに…機能が死ぬというのは悲しい。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...