アカウント名:
パスワード:
秘密鍵を他人に知られてる時点で終わってるだろ。悪いのがSymantecなのかそれを買ったDigiCertなのか知らんけど。
Trusticoは昔Symantecの代理店をやってた。そのころTrusticoは、鍵生成サービスかなんかを提供していて、顧客に証明書を発行する傍ら、その秘密鍵を保持していたっぽい。Symantecが事業をDigicertに移管したんだが、TrusticoはDigicertとは関係をもたず、Comodoの代理店をやるようになった。
Trustico:昔Symantecから認証された俺の顧客の証明書5万件ほど、秘密鍵漏れてるから取り消せ→DigicertDigicert:証拠見せろTrustico:ほらよ(二万件の秘密鍵)(BER 規則4.9.1.1の3:CAは秘密鍵が漏れたと認識したとき、その証明書を24h以内に取り消さないといけない)Digicert:取り消したけど、こういう行為ってどうなん。皆どうしてる?→mozilla.dev.security.policy
なので、どう考えてもTrusticoが頭おかしい、としかいいようがない。
その通りだとすると頭おかしいのはSymantecじゃね。漏れてる証拠ってこれ以上適切な証明の仕方もないような。Symantec時代に鍵が漏れてることを公表しないのもどうなんだって話もあるだろうが、流石にSymantecが許さなかっただけじゃないか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
暴挙か? (スコア:0)
秘密鍵を他人に知られてる時点で終わってるだろ。
悪いのがSymantecなのかそれを買ったDigiCertなのか知らんけど。
Re:暴挙か? (スコア:1)
Trusticoは昔Symantecの代理店をやってた。
そのころTrusticoは、鍵生成サービスかなんかを提供していて、顧客に証明書を発行する傍ら、その秘密鍵を保持していたっぽい。
Symantecが事業をDigicertに移管したんだが、TrusticoはDigicertとは関係をもたず、Comodoの代理店をやるようになった。
Trustico:昔Symantecから認証された俺の顧客の証明書5万件ほど、秘密鍵漏れてるから取り消せ→Digicert
Digicert:証拠見せろ
Trustico:ほらよ(二万件の秘密鍵)
(BER 規則4.9.1.1の3:CAは秘密鍵が漏れたと認識したとき、その証明書を24h以内に取り消さないといけない)
Digicert:取り消したけど、こういう行為ってどうなん。皆どうしてる?→mozilla.dev.security.policy
なので、どう考えてもTrusticoが頭おかしい、としかいいようがない。
Re: (スコア:0)
その通りだとすると頭おかしいのはSymantecじゃね。
漏れてる証拠ってこれ以上適切な証明の仕方もないような。
Symantec時代に鍵が漏れてることを公表しないのもどうなんだって話もあるだろうが、
流石にSymantecが許さなかっただけじゃないか。