パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SSL/TLS証明書再販業者Trustico、メールで顧客の秘密鍵を送りつけて強制的に証明書を失効させる暴挙」記事へのコメント

  • 結局の所さ…… (スコア:0, フレームのもと)

    by Anonymous Coward

    先日MSやAppleはじめほとんど信頼されているGKPIに対して、不可解な態度をとっているMozillaというストーリーがあったけど、結局の所、昔、自分らが適当に審査した結果多発する問題への逆噴射なんかね。

    自分らが前やらかした問題を解決する、あるいは示しを付けるために、関係の無いところまでやたらと厳しく当たるのは古今東西どこの業界でも一緒。
    事件があったからと言って警察がやたらと職務質問して回り、工具を銃刀法違反や転び公妨やるようなもん。
    そらま、過去の過ちを正すためにやらなきゃならないのはやらなきゃなんないんだろうけど、そんなモンに巻き込まれた方は大迷惑だよな。せめて自分らが過去に大ちょんぼやらかしてるので、それを防ぐためにやってます、と責任の所在の表明ぐらいはするべき何だが、どうも連中なんか勘違いしている。

    ただひたすら迷惑を被るなだけのユーザとしては、まずはテメエらの組織で落とし前付けてから、他人に言えやと思う。

    • by Anonymous Coward

      2013年から延々と続くGPKIの糞対応をそんな想像で取り繕っても意味ないよ

      • by Anonymous Coward
        取り繕ってなんかないよGPKIは日本の役所としては異常なほど何でも真摯で迅速に対応してるよ
        ただ単に担当者がMLに参加できる程度には英語読めない書けないってだけ
        それだって別にGPKIに限った話じゃないでしょう
        • by Anonymous Coward on 2018年03月06日 13時49分 (#3372015)

          英語書けるか否かって本来セキュリティとは無関係だよね。
          最新情報は英語だけの事が多少多いけどそれくらい。
          Mozillaが英語に拘った理由って自分の便宜の為としか。

          親コメント
          • by Anonymous Coward

            > 英語書けるか否かって本来セキュリティとは無関係だよね。
            > 最新情報は英語だけの事が多少多いけどそれくらい。
            > Mozillaが英語に拘った理由って自分の便宜の為としか。

            想像で勝手なことを書かないほうがいい。
            今回の場合は baseline requirements として明文化されている
            不正な証明書を発見したら24時間以内に失効させるという規則に従ってないので、拒否された。
            http://yumetodo.hateblo.jp/entry/2018/02/28/232939 [hateblo.jp]

            当然、セキュリティに直結する話でもある。

            問題は、おそらく以下の2点。
            ・担当者が英文で書かれている規則を読み落とした
            ・指摘されてすぐにrevokeすれば間に合ったが、担当者にそういう権限がなかったと思われる

            • by Anonymous Coward

              いや建前はそうだけど、最初の方で英語云々と言ってるし、官報の確認すらしないとか、純粋にセキュリティ上の理由とは思えないのよね。
              この程度の逸脱が他の認証局でないとも思えない。
              事実Symantecや他の件はシャレにならない大問題を起こしておいても協議の上猶予期間まで与えられてるし。

              • by Anonymous Coward

                > 事実Symantecや他の件はシャレにならない大問題を起こしておいても協議の上猶予期間まで与えられてるし。

                Symantec は GPKI のような新規のroot証明書登録じゃなくて、既存のroot証明書の抹消だから猶予期間があるのは当然でしょ。
                しかも猶予期間はあるものの挽回は認められなくて結局失効することになって、SSL証明書事業全体を売り払うハメになってる。
                Symantec は RSA 暗号発明者の作った RSA Security社から生まれた Verisign の直系である名門企業だったのにも関わらずだよ。
                全然甘くないよ。

              • by Anonymous Coward

                公開鍵基盤は手続き的な信頼で成り立ってるんだから、手続きが守れません守る気はありませんと宣言した時点で拒絶されるのは仕方がない。
                警察官の前で運転席に座って缶ビールを一口飲んだようなもので、それを見た以上は警察官だったら運転をやめなさいと言うしかないだろう。
                家に帰ればアルコール検知器があるとか力説されたところでどうにもならない。

              • by Anonymous Coward

                GPKIも既に現用されて他社は認めてるし前の鍵は既存だったし、実質既存だと思うけど。
                と言うか明らかに厳密で公平な適用なんてしてないよね。
                問題ないとは言えないよ。

                ただ、BRがセキュリティに関わらない些細なエラーで認証局を取り消しするような事を目的としているのか、他の認証局が厳密に全て守っているのかは知らない。
                前のコメントを見る限り皆も知っていないと思う。
                多分、24時間云々はセキュリティ上重大なインシデントを想定したものだと思うし、他の認証局も完全に履行してるとは到底思えない。
                結局、「Mozilla側としては認める訳にはいかなかった」とか「日本語が分からない」みたいなのを含めてMozilla側の勝手な都合だと思う。
                そうでなくて実際一字一句厳密に運用されるのが当たり前なら妥当だけど。
                Mozillaでさえちょっとしたミスを見つけるのに何年も掛かってるから既存局のエラーをさがすのは大仕事だろうし実情を知るのは大変だろうな。

              • by Anonymous Coward

                追記、信用できないけどSymantecの主張 [symantec.com](こちら [srad.jp]より)

                全ての大手認証局がSSL/TLSサーバ証明書の不適切な発行という事態を経験している中、Google社はブログの中でいくつかの認証局における問題の存在を指摘しつつ、Symantecの認証局のみをその提案の対象としています。

                怪しいけど、不適切の発行は全ての大手認証局がやらかしてるとさ。
                やっぱりMozillaおかしいんじゃない?

              • by Anonymous Coward

                > GPKIも既に現用されて他社は認めてるし前の鍵は既存だったし、実質既存だと思うけど。

                あなたは、ソフトウェアの互換性を守るための運用の常識を理解されていないと思います。

                Mozilla にはこれまで GPKI ルート証明書が入ってなかったという意味で「既存じゃない」と言ってるんですよ。
                ルールに違反した以上、Symantec も GPKI も Mozilla のルート証明書ストアから外されるのは確定です。
                Symantec の場合、発覚した時点で既に Mozilla のルート証明書ストアに登録されていましたから、「既存の Mozilla ユーザーが不利益をこうむるのを避けるため」に猶予期間がありまし

              • by Anonymous Coward

                異なるブラウザ間の一貫した動作もソフトウェア互換性の一つですよ。
                鍵の失効はデータ喪失等を伴うわけではないのでユーザーの利便というてんではバージョン間の互換性とソフトウェア間の互換性を区別する必要はほとんどありません。現在は複数ブラウザの使い分けが普通ですし。
                言い訳になりません。

                少なくとも猶予期間と協議という点に関して公平ではありません。
                要は参入障壁です。
                加えて既存の認証局全てが不適切な証明書発行を経験しているというのが事実なら今回の件は口実に過ぎないと考えるべきです。

              • by Anonymous Coward

                不適切な証明書の発行自体が問題視されてるんじゃないってツリーのすぐ上で指摘されてるのにもう忘れちゃったの?おじいちゃん

              • by Anonymous Coward

                だから既存局みんなが24時間以内の失効を初めとするBRをそこまで厳密に守ってるのか?という話。
                皆がセキュリティ上重要でない問題を含め当たり前に守ってるなら良いよ。
                でもそうではないっぽいよね。セキュリティに関わらない問題なら誰も指摘しないだろうけど。
                皆が守ってなくても新規の認証局に対して既存の認証局より厳しい基準を適用するのも仕方がない。
                でもGPKIは実情として既存局に近いよね。
                という話。

                本当にそこまで厳密に守られているならGPKIは仕方がないとは思う。
                そして仮にそうならMozilla以外も追従するはずで、しばらくすれば分かるはず。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...