これまでの LGPKI は、実際は LGWAN 運営協議会が CA を運用しているのに、地方自治体毎に名目上の「認証局」と呼ばれる組織を置くという変わった形態でした。
それがネックで WebTrust for CA 監査をパスできないので、LGWAN 運営協議会は今年4月から LGPKI Application CA (第二世代) を稼働させ、その第二世代 CA では認証局は LGWAN 運営協議会に集中化、各地方自治体は「LGPKI 登録分局」という位置づけに変わっています。
(略)
あとは、WebTrust for CA をパスすれば大手を振って MS のルート証明機関リストに登録してもらえるわけですが、今回は内閣官房からの要請を受け、「もうすぐパスする」という前提で特別対応を行われたようですね。
>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1, 参考になる)
まったく無関係の個人・法人が「○○銀行」のサイトを偽造しているかも、という可能性の意味で。
ところで、このFirefoxの警告、オプション⇒セキュリティで「偽装サイトとして報告されているサイトを表示するときに警告する」とか、
その下の警告メッセージで「強度の低い暗号化を使用しているページを表示するとき」のチェック
(デフォルトで入っている)をなくすと消えたりしないの?
#過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?
本家の「ユーザビリティ」がどうの、とタレコミ本文のリンク先コメントみると、
この警告見たくないからFx2.xにダウングレードしたってあるけど、
それよりはFx3.xでこのオプション無効にする方がまだマシかと思うのだが。
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1, 参考になる)
>#過去報告のあった「オレオレ証明書」サイトは改善されていて試せないorz
>##こういうときのデモ用に「オレオレ証明書デモサイト」とかどこかに無い?
探し回っていたら見つけました。元はもじふぉのフォーラム [firehacks.org]で、
>2. 「オレオレ証明書」を使っているサイトにアクセスします。
> 例: http://www.pref.saga.lg.jp/citizenH/help/shinseinavi/shinseisho.htm [saga.lg.jp]
さすが佐賀県!2007年5月19日に投稿されたネタなのにまだオレオレ証明書だ!やってくれるぜ!
で、やってみましたが、「偽装サイトとして報告されているサイトを表示するときに警告する」「強度の低い暗号化を使用しているページを表示するとき」のチェックを外しても警告がでました。
詳細⇒証明書⇒検証でリアルタイムを外しても警告。うーん、厳しい。about:configでいじれるのかなぁ。
最近、上の話題が再提起されたときの話題(オレオレ証明書を受け入れた後のFx) [firehacks.org]がもっと重要な気がする、けど詳しく説明できる技術力がないのでエロイ人の解説キボン
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1)
LGPKIの証明書はIEには2006/9から入ってる [srad.jp]ので普通に見える。
むしろfirefoxがオクレテルというべきでは。
たとえば携帯電話は、古い機種には新興認証局が入っていない [kaisei.org]ので、PCや新機種では正常なサイトでもオレオレになってしまうらしい。
とっとと(少なくとも日本語版の)公式ビルドに入れればいいと思うけど、進行中ではあるらしい [firehacks.org]
ちなみにmicrosoftには独自の認証局を使ってるサイトがあって、もちろんIEには入ってるので普通に見えるが、firefox等ではオレオレに見える。
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1, 参考になる)
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1)
IEで「信頼されたルート証明機関」を見るとMicrosoftなんちゃらがいくつかありますが、
firefoxの「認証局証明書」にはありません。
Re: (スコア:0)
それ、二番目の、つまり中間認証局では?
>「信頼されたルート証明機関」を見るとMicrosoftなんちゃらがいくつかありますが、
それはまた別で、デバイスドライバ署名用とかのはず。サーバ証明書に使うMicrosoftのルート認証局はなかったはず。
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1, 参考になる)
つい最近WebTrust for CAに通ったばかりのCAをなんでそんなに前から信頼できるんだ?とか、政治的圧力に負けてポリシー曲げたんだと解釈されるよりなんぼかマシでは?
あ、2006年から今までLGPKIの運用体制が改善されたかどうかは調べていません。もし変化なしなら、Microsoftに先見の明があったというか独自調査をした上でのことだったんでしょう。改善した上で通ったのなら、2006年時点で入れるのは時期尚早で利用者を危険にさらす行為だったということになります。
いずれにせよ、WebTrust for CAに通ってしまった以上日本の利用者のニーズに応えて証明書を同梱するのはMozilla Japanの行動力(ともちろんLGPKIの協力)にかかっており、これから遅れる分は「オクレテル」と指摘されても仕方ありません。
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:2, 参考になる)
IEに入ったときの記事のコメント [srad.jp]
ところが実際にパスしたのはつい先日なわけで、むしろfirefoxは通常の対応でIEがフライングしたといったとこでしょうか。
Re:>自己署名SSLのサイトが(中略)『安全でない』といった印象を与えるべきではない (スコア:1, 参考になる)
ただ、LGPKIはWebTrust for CAに合格したって話もあるから予断を許さない(笑)。
佐賀県を悪く言わないで。佐賀県はLGPKIの方針に忠実に従ってるだけなのです。
Re: (スコア:0)
> だから、自己署名だろうが認証局から買おうがいっしょさ。
(ちょっと釣りっぽいけど返事してみる)
まあいろんな要素が混じってるので、どれに重きをおくかで相対的な安全性の差って変わってくるわけですが。
正規の証明書であれば、https://bankofhoge.com/ にアクセスしている時に、
(A) 「相手が確かにbankofhoge.comの所有者である」
ことは保証されますね。自己署名ではこれが保証されません。ここが「差」です。
一方、正規の証明書であろうが自己署名であろうが一般