パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Firefox 3のSSL対応方針、どう思う?」記事へのコメント

  • いやだって安全じゃないでしょ。
    まったく無関係の個人・法人が「○○銀行」のサイトを偽造しているかも、という可能性の意味で。

    ところで、このFirefoxの警告、オプション⇒セキュリティで「偽装サイトとして報告されているサイトを表示するときに警告する」とか、
    その下の警告メッセージで「強度の低い暗号化を使用しているページを表示するとき」のチェック
    (デフォルトで入っている)をなくすと消えたりしないの?
    #過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
    ##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?

    本家の「ユーザビリティ」がどうの、とタレコミ本文のリンク先コメントみると、
    この警告見たくないからFx2.xにダウングレードしたってあるけど、
    それよりはFx3.xでこのオプション無効にする方がまだマシかと思うのだが。
    • Re: (スコア:1, 参考になる)

      by Anonymous Coward
      元ACです。

      >#過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
      >##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?

      探し回っていたら見つけました。元はもじふぉのフォーラム [firehacks.org]で、

      >2. 「オレオレ証明書」を使っているサイトにアクセスします。
      > 例: http://www.pref.saga.lg.jp/citizenH/help/shinseinavi/shinseisho.htm [saga.lg.jp]

      さすが佐賀県!2007年5月19日に投稿されたネタなのにまだオレオレ証明書だ!やってくれるぜ!

      で、やってみましたが、「偽装サイトとして報告されているサイトを表示するときに警告する」「強度の低い暗号化を使用しているページを表示するとき」のチェックを外しても警告がでました
      • コレを「まだオレオレ証明書」というのはどうかと思う。

        LGPKIの証明書はIEには2006/9から入ってる [srad.jp]ので普通に見える。
        むしろfirefoxがオクレテルというべきでは。

        たとえば携帯電話は、古い機種には新興認証局が入っていない [kaisei.org]ので、PCや新機種では正常なサイトでもオレオレになってしまうらしい。

        とっとと(少なくとも日本語版の)公式ビルドに入れればいいと思うけど、進行中ではあるらしい [firehacks.org]

        ちなみにmicrosoftには独自の認証局を使ってるサイトがあって、もちろんIEには入ってるので普通に見えるが、firefox等ではオレオレに見える。
        親コメント
        • ちなみにmicrosoftには独自の認証局を使ってるサイトがあって、もちろんIEには入ってるので普通に見えるが、firefox等ではオレオレに見える。
          それはたぶん違うよ。原因はこれ [takagi-hiromitsu.jp]でしょ。

          これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フィールドにあるURLから、検証に必要な中間認証局の証明書を、別途自動でダウンロードして取得する機能があるためだ。 (snip)
          親コメント
        • LGPKIの証明書はIEには2006/9から入ってるので普通に見える。
          むしろfirefoxがオクレテルというべきでは。
          それは純粋にポリシーの問題です。
          つい最近WebTrust for CAに通ったばかりのCAをなんでそんなに前から信頼できるんだ?とか、政治的圧力に負けてポリシー曲げたんだと解釈されるよりなんぼかマシでは?

          あ、2006年から今までLGPKIの運用体制が改善されたかどうかは調べていません。もし変化なしなら、Microsoftに先見の明があったというか独自調査をした上でのことだったんでしょう。改善した上で通ったのなら、2006年時点で入れるのは時期尚早で利用者を危険にさらす行為だったということになります。

          いずれにせよ、WebTrust for CAに通ってしまった以上日本の利用者のニーズに応えて証明書を同梱するのはMozilla Japanの行動力(ともちろんLGPKIの協力)にかかっており、これから遅れる分は「オクレテル」と指摘されても仕方ありません。
          親コメント
          • 対応時期だけで書いてしまいましたが、よく調べると

            IEに入ったときの記事のコメント [srad.jp]

            これまでの LGPKI は、実際は LGWAN 運営協議会が CA を運用しているのに、地方自治体毎に名目上の「認証局」と呼ばれる組織を置くという変わった形態でした。

            それがネックで WebTrust for CA 監査をパスできないので、LGWAN 運営協議会は今年4月から LGPKI Application CA (第二世代) を稼働させ、その第二世代 CA では認証局は LGWAN 運営協議会に集中化、各地方自治体は「LGPKI 登録分局」という位置づけに変わっています。

            (略)

            あとは、WebTrust for CA をパスすれば大手を振って MS のルート証明機関リストに登録してもらえるわけですが、今回は内閣官房からの要請を受け、「もうすぐパスする」という前提で特別対応を行われたようですね。


            ところが実際にパスしたのはつい先日なわけで、むしろfirefoxは通常の対応でIEがフライングしたといったとこでしょうか。

            親コメント

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...