アカウント名:
パスワード:
先日MSやAppleはじめほとんど信頼されているGKPIに対して、不可解な態度をとっているMozillaというストーリーがあったけど、結局の所、昔、自分らが適当に審査した結果多発する問題への逆噴射なんかね。
自分らが前やらかした問題を解決する、あるいは示しを付けるために、関係の無いところまでやたらと厳しく当たるのは古今東西どこの業界でも一緒。事件があったからと言って警察がやたらと職務質問して回り、工具を銃刀法違反や転び公妨やるようなもん。そらま、過去の過ちを正すためにやらなきゃならないのはやらなきゃなんないんだろうけど、そんなモンに巻き込まれた方は大迷惑だよな。せめて自分らが過去に大ちょんぼやらかしてるので、それを防ぐためにやってます、と責任の所在の表明ぐらいはするべき何だが、どうも連中なんか勘違いしている。
ただひたすら迷惑を被るなだけのユーザとしては、まずはテメエらの組織で落とし前付けてから、他人に言えやと思う。
2013年から延々と続くGPKIの糞対応をそんな想像で取り繕っても意味ないよ
時期の問題を言うなら、シマンテックの元となった証明機関は、WebTrustが発行される前からやってる会社なんで、延々と糞対応して問題が噴出しているという点ではGPKIなんて足下にも及ばない歴史があるかと。
Mozillaは当時認証し許可については組織内で検証が済んでるんだろうかね。本当ならそいつらが承認した奴を全部洗い流して無効化するぐらいはやらなきゃならないけど、いずれも問題が発覚してから対処しているように見える。組織の中で何らかの落とし前は付けてるんだろうか。
そもそものBRがどんどん厳しくなっているのでついていけない証明機関は退場してもらうしか無いね
問題が起きたら対処するのは普通でしょ?DigiNotarもWoSignも問題起きてMozilla,Google,MSの順に対処したじゃない?過去の分も含めて精査しているところがあるような書きっぷりだけど、ソースあります?
問題が起きているのに、過去の分を精査していないのが問題だって言ってるんだと思うぞ
自動車や航空機の品質保証システムだと、品質保証システムが承認を出していたのに、本来は品質保証システムが止めるべき問題が発生した場合には、同じ基準・同じシステムで承認を出したもの全てが信頼できないと言うことになる。
なのですべて過去にわたって調べて自ら正しさを証明し、監査機関に監査に入ってもらって証明するのが当然。で、本来なら問題は発生するのがたり前なので、それに備えてエビデンスを揃えておくんだが、やってないよね。この時、八つ当たり気味に問題の無い無関係な所へ厳しく当たっても全く意味が無い、っつーか、責任転換をするのはやめろって言われるのが普通だわな。
ソフトウエア業界はこういう所が緩すぎるっていうか、抑えるべき所を理解できてないっつーか。こんだけ多発しているんだから、外部監査に介入させて、それ手動ですべて入れ替えるぐらい行われてもいいはずなんだが、どうも身内にだけ甘いっつーか。コミュニティベースって所に明らかに逃げてるっていうか。
ソフトウェア業界は、人の手による確認を信頼していないんだよ。監査機関というのは人間でしょ? ろくすっぽ意味論も習わない文系の仕事でしょ? そんなものいくら揃えたって、機械で処理できない以上は安全性を担保する方法として受け入れられないんだよ。
つまりMozillaでよく分からん対応をしているのはbotだった、と?んなアホな。
あと、品質保証システムとはシステムなので、人の手による確認である、等と言う理解は完全に間違っております。
英語書けるか否かって本来セキュリティとは無関係だよね。最新情報は英語だけの事が多少多いけどそれくらい。Mozillaが英語に拘った理由って自分の便宜の為としか。
> 英語書けるか否かって本来セキュリティとは無関係だよね。> 最新情報は英語だけの事が多少多いけどそれくらい。> Mozillaが英語に拘った理由って自分の便宜の為としか。
想像で勝手なことを書かないほうがいい。今回の場合は baseline requirements として明文化されている不正な証明書を発見したら24時間以内に失効させるという規則に従ってないので、拒否された。http://yumetodo.hateblo.jp/entry/2018/02/28/232939 [hateblo.jp]
当然、セキュリティに直結する話でもある。
問題は、おそらく以下の2点。・担当者が英文で書かれている規則を読み落とした・指摘されてすぐにrevokeすれば間に合ったが、担当者にそういう権限がなかったと思われる
いや建前はそうだけど、最初の方で英語云々と言ってるし、官報の確認すらしないとか、純粋にセキュリティ上の理由とは思えないのよね。この程度の逸脱が他の認証局でないとも思えない。事実Symantecや他の件はシャレにならない大問題を起こしておいても協議の上猶予期間まで与えられてるし。
> 事実Symantecや他の件はシャレにならない大問題を起こしておいても協議の上猶予期間まで与えられてるし。
Symantec は GPKI のような新規のroot証明書登録じゃなくて、既存のroot証明書の抹消だから猶予期間があるのは当然でしょ。しかも猶予期間はあるものの挽回は認められなくて結局失効することになって、SSL証明書事業全体を売り払うハメになってる。Symantec は RSA 暗号発明者の作った RSA Security社から生まれた Verisign の直系である名門企業だったのにも関わらずだよ。全然甘くないよ。
公開鍵基盤は手続き的な信頼で成り立ってるんだから、手続きが守れません守る気はありませんと宣言した時点で拒絶されるのは仕方がない。警察官の前で運転席に座って缶ビールを一口飲んだようなもので、それを見た以上は警察官だったら運転をやめなさいと言うしかないだろう。家に帰ればアルコール検知器があるとか力説されたところでどうにもならない。
GPKIも既に現用されて他社は認めてるし前の鍵は既存だったし、実質既存だと思うけど。と言うか明らかに厳密で公平な適用なんてしてないよね。問題ないとは言えないよ。
ただ、BRがセキュリティに関わらない些細なエラーで認証局を取り消しするような事を目的としているのか、他の認証局が厳密に全て守っているのかは知らない。前のコメントを見る限り皆も知っていないと思う。多分、24時間云々はセキュリティ上重大なインシデントを想定したものだと思うし、他の認証局も完全に履行してるとは到底思えない。結局、「Mozilla側としては認める訳にはいかなかった」とか「日本語が分からない」みたいなのを含めてMozilla側の勝手な都合だと思う。そうでなくて実際一字一句厳密に運用されるのが当たり前なら妥当だけど。Mozillaでさえちょっとしたミスを見つけるのに何年も掛かってるから既存局のエラーをさがすのは大仕事だろうし実情を知るのは大変だろうな。
追記、信用できないけどSymantecの主張 [symantec.com](こちら [srad.jp]より)
全ての大手認証局がSSL/TLSサーバ証明書の不適切な発行という事態を経験している中、Google社はブログの中でいくつかの認証局における問題の存在を指摘しつつ、Symantecの認証局のみをその提案の対象としています。
怪しいけど、不適切の発行は全ての大手認証局がやらかしてるとさ。やっぱりMozillaおかしいんじゃない?
> GPKIも既に現用されて他社は認めてるし前の鍵は既存だったし、実質既存だと思うけど。
あなたは、ソフトウェアの互換性を守るための運用の常識を理解されていないと思います。
Mozilla にはこれまで GPKI ルート証明書が入ってなかったという意味で「既存じゃない」と言ってるんですよ。ルールに違反した以上、Symantec も GPKI も Mozilla のルート証明書ストアから外されるのは確定です。Symantec の場合、発覚した時点で既に Mozilla のルート証明書ストアに登録されていましたから、「既存の Mozilla ユーザーが不利益をこうむるのを避けるため」に猶予期間がありまし
異なるブラウザ間の一貫した動作もソフトウェア互換性の一つですよ。鍵の失効はデータ喪失等を伴うわけではないのでユーザーの利便というてんではバージョン間の互換性とソフトウェア間の互換性を区別する必要はほとんどありません。現在は複数ブラウザの使い分けが普通ですし。言い訳になりません。
少なくとも猶予期間と協議という点に関して公平ではありません。要は参入障壁です。加えて既存の認証局全てが不適切な証明書発行を経験しているというのが事実なら今回の件は口実に過ぎないと考えるべきです。
不適切な証明書の発行自体が問題視されてるんじゃないってツリーのすぐ上で指摘されてるのにもう忘れちゃったの?おじいちゃん
だから既存局みんなが24時間以内の失効を初めとするBRをそこまで厳密に守ってるのか?という話。皆がセキュリティ上重要でない問題を含め当たり前に守ってるなら良いよ。でもそうではないっぽいよね。セキュリティに関わらない問題なら誰も指摘しないだろうけど。皆が守ってなくても新規の認証局に対して既存の認証局より厳しい基準を適用するのも仕方がない。でもGPKIは実情として既存局に近いよね。という話。
本当にそこまで厳密に守られているならGPKIは仕方がないとは思う。そして仮にそうならMozilla以外も追従するはずで、しばらくすれば分かるはず。
日本の役所としてではなく証明機関としてその求められるレベルで真摯に迅速に対応してください。
あの程度の英語が読めない書けない人が担当者なルート証明機関を信用できますか?って話でしょw
真摯と言うなら、予算をつけてそれなりの人を配置するか、委託すればいいだけやろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
結局の所さ…… (スコア:0, フレームのもと)
先日MSやAppleはじめほとんど信頼されているGKPIに対して、不可解な態度をとっているMozillaというストーリーがあったけど、結局の所、昔、自分らが適当に審査した結果多発する問題への逆噴射なんかね。
自分らが前やらかした問題を解決する、あるいは示しを付けるために、関係の無いところまでやたらと厳しく当たるのは古今東西どこの業界でも一緒。
事件があったからと言って警察がやたらと職務質問して回り、工具を銃刀法違反や転び公妨やるようなもん。
そらま、過去の過ちを正すためにやらなきゃならないのはやらなきゃなんないんだろうけど、そんなモンに巻き込まれた方は大迷惑だよな。せめて自分らが過去に大ちょんぼやらかしてるので、それを防ぐためにやってます、と責任の所在の表明ぐらいはするべき何だが、どうも連中なんか勘違いしている。
ただひたすら迷惑を被るなだけのユーザとしては、まずはテメエらの組織で落とし前付けてから、他人に言えやと思う。
Re: (スコア:0)
2013年から延々と続くGPKIの糞対応をそんな想像で取り繕っても意味ないよ
Re: (スコア:0)
時期の問題を言うなら、シマンテックの元となった証明機関は、WebTrustが発行される前からやってる会社なんで、延々と糞対応して問題が噴出しているという点ではGPKIなんて足下にも及ばない歴史があるかと。
Mozillaは当時認証し許可については組織内で検証が済んでるんだろうかね。本当ならそいつらが承認した奴を全部洗い流して無効化するぐらいはやらなきゃならないけど、いずれも問題が発覚してから対処しているように見える。
組織の中で何らかの落とし前は付けてるんだろうか。
Re: (スコア:0)
そもそものBRがどんどん厳しくなっているので
ついていけない証明機関は退場してもらうしか無いね
問題が起きたら対処するのは普通でしょ?
DigiNotarもWoSignも問題起きてMozilla,Google,MSの順に対処したじゃない?
過去の分も含めて精査しているところがあるような書きっぷりだけど、ソースあります?
Re: (スコア:0)
問題が起きているのに、過去の分を精査していないのが問題だって言ってるんだと思うぞ
自動車や航空機の品質保証システムだと、品質保証システムが承認を出していたのに、本来は品質保証システムが止めるべき問題が発生した場合には、同じ基準・同じシステムで承認を出したもの全てが信頼できないと言うことになる。
なのですべて過去にわたって調べて自ら正しさを証明し、監査機関に監査に入ってもらって証明するのが当然。で、本来なら問題は発生するのがたり前なので、それに備えてエビデンスを揃えておくんだが、やってないよね。
この時、八つ当たり気味に問題の無い無関係な所へ厳しく当たっても全く意味が無い、っつーか、責任転換をするのはやめろって言われるのが普通だわな。
ソフトウエア業界はこういう所が緩すぎるっていうか、抑えるべき所を理解できてないっつーか。こんだけ多発しているんだから、外部監査に介入させて、それ手動ですべて入れ替えるぐらい行われてもいいはずなんだが、どうも身内にだけ甘いっつーか。コミュニティベースって所に明らかに逃げてるっていうか。
Re: (スコア:0)
ソフトウェア業界は、人の手による確認を信頼していないんだよ。監査機関というのは人間でしょ? ろくすっぽ意味論も習わない文系の仕事でしょ? そんなものいくら揃えたって、機械で処理できない以上は安全性を担保する方法として受け入れられないんだよ。
Re: (スコア:0)
つまりMozillaでよく分からん対応をしているのはbotだった、と?
んなアホな。
あと、品質保証システムとはシステムなので、人の手による確認である、等と言う理解は完全に間違っております。
Re: (スコア:0)
英語書けるか否かって本来セキュリティとは無関係だよね。
最新情報は英語だけの事が多少多いけどそれくらい。
Mozillaが英語に拘った理由って自分の便宜の為としか。
Re: (スコア:0)
> 英語書けるか否かって本来セキュリティとは無関係だよね。
> 最新情報は英語だけの事が多少多いけどそれくらい。
> Mozillaが英語に拘った理由って自分の便宜の為としか。
想像で勝手なことを書かないほうがいい。
今回の場合は baseline requirements として明文化されている
不正な証明書を発見したら24時間以内に失効させるという規則に従ってないので、拒否された。
http://yumetodo.hateblo.jp/entry/2018/02/28/232939 [hateblo.jp]
当然、セキュリティに直結する話でもある。
問題は、おそらく以下の2点。
・担当者が英文で書かれている規則を読み落とした
・指摘されてすぐにrevokeすれば間に合ったが、担当者にそういう権限がなかったと思われる
Re: (スコア:0)
いや建前はそうだけど、最初の方で英語云々と言ってるし、官報の確認すらしないとか、純粋にセキュリティ上の理由とは思えないのよね。
この程度の逸脱が他の認証局でないとも思えない。
事実Symantecや他の件はシャレにならない大問題を起こしておいても協議の上猶予期間まで与えられてるし。
Re: (スコア:0)
> 事実Symantecや他の件はシャレにならない大問題を起こしておいても協議の上猶予期間まで与えられてるし。
Symantec は GPKI のような新規のroot証明書登録じゃなくて、既存のroot証明書の抹消だから猶予期間があるのは当然でしょ。
しかも猶予期間はあるものの挽回は認められなくて結局失効することになって、SSL証明書事業全体を売り払うハメになってる。
Symantec は RSA 暗号発明者の作った RSA Security社から生まれた Verisign の直系である名門企業だったのにも関わらずだよ。
全然甘くないよ。
Re: (スコア:0)
公開鍵基盤は手続き的な信頼で成り立ってるんだから、手続きが守れません守る気はありませんと宣言した時点で拒絶されるのは仕方がない。
警察官の前で運転席に座って缶ビールを一口飲んだようなもので、それを見た以上は警察官だったら運転をやめなさいと言うしかないだろう。
家に帰ればアルコール検知器があるとか力説されたところでどうにもならない。
Re: (スコア:0)
GPKIも既に現用されて他社は認めてるし前の鍵は既存だったし、実質既存だと思うけど。
と言うか明らかに厳密で公平な適用なんてしてないよね。
問題ないとは言えないよ。
ただ、BRがセキュリティに関わらない些細なエラーで認証局を取り消しするような事を目的としているのか、他の認証局が厳密に全て守っているのかは知らない。
前のコメントを見る限り皆も知っていないと思う。
多分、24時間云々はセキュリティ上重大なインシデントを想定したものだと思うし、他の認証局も完全に履行してるとは到底思えない。
結局、「Mozilla側としては認める訳にはいかなかった」とか「日本語が分からない」みたいなのを含めてMozilla側の勝手な都合だと思う。
そうでなくて実際一字一句厳密に運用されるのが当たり前なら妥当だけど。
Mozillaでさえちょっとしたミスを見つけるのに何年も掛かってるから既存局のエラーをさがすのは大仕事だろうし実情を知るのは大変だろうな。
Re: (スコア:0)
追記、信用できないけどSymantecの主張 [symantec.com](こちら [srad.jp]より)
全ての大手認証局がSSL/TLSサーバ証明書の不適切な発行という事態を経験している中、Google社はブログの中でいくつかの認証局における問題の存在を指摘しつつ、Symantecの認証局のみをその提案の対象としています。
怪しいけど、不適切の発行は全ての大手認証局がやらかしてるとさ。
やっぱりMozillaおかしいんじゃない?
Re: (スコア:0)
> GPKIも既に現用されて他社は認めてるし前の鍵は既存だったし、実質既存だと思うけど。
あなたは、ソフトウェアの互換性を守るための運用の常識を理解されていないと思います。
Mozilla にはこれまで GPKI ルート証明書が入ってなかったという意味で「既存じゃない」と言ってるんですよ。
ルールに違反した以上、Symantec も GPKI も Mozilla のルート証明書ストアから外されるのは確定です。
Symantec の場合、発覚した時点で既に Mozilla のルート証明書ストアに登録されていましたから、「既存の Mozilla ユーザーが不利益をこうむるのを避けるため」に猶予期間がありまし
Re: (スコア:0)
異なるブラウザ間の一貫した動作もソフトウェア互換性の一つですよ。
鍵の失効はデータ喪失等を伴うわけではないのでユーザーの利便というてんではバージョン間の互換性とソフトウェア間の互換性を区別する必要はほとんどありません。現在は複数ブラウザの使い分けが普通ですし。
言い訳になりません。
少なくとも猶予期間と協議という点に関して公平ではありません。
要は参入障壁です。
加えて既存の認証局全てが不適切な証明書発行を経験しているというのが事実なら今回の件は口実に過ぎないと考えるべきです。
Re: (スコア:0)
不適切な証明書の発行自体が問題視されてるんじゃないってツリーのすぐ上で指摘されてるのにもう忘れちゃったの?おじいちゃん
Re: (スコア:0)
だから既存局みんなが24時間以内の失効を初めとするBRをそこまで厳密に守ってるのか?という話。
皆がセキュリティ上重要でない問題を含め当たり前に守ってるなら良いよ。
でもそうではないっぽいよね。セキュリティに関わらない問題なら誰も指摘しないだろうけど。
皆が守ってなくても新規の認証局に対して既存の認証局より厳しい基準を適用するのも仕方がない。
でもGPKIは実情として既存局に近いよね。
という話。
本当にそこまで厳密に守られているならGPKIは仕方がないとは思う。
そして仮にそうならMozilla以外も追従するはずで、しばらくすれば分かるはず。
Re: (スコア:0)
日本の役所としてではなく証明機関としてその求められるレベルで真摯に迅速に対応してください。
Re: (スコア:0)
あの程度の英語が読めない書けない人が担当者なルート証明機関を信用できますか?って話でしょw
真摯と言うなら、予算をつけてそれなりの人を配置するか、委託すればいいだけやろ