パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる」記事へのコメント

  • EV SSL を使っていたようなところは別に移行していないだろうし、
    DV SSL を Let's Encrypt に移したところで安全性は特に変わらないのでは。

    OV はブラウザ上で DV と区別する手間が大きくて可哀想というか、
    ぶっちゃけ一般人で違いを見分けられる人はほとんど居ない気がするので
    OV → DV にダウングレードして Let's Encrypt 化しているところがあったら
    まあ文句の一つも言いたくなるでしょうが、ユーザーが見分けられないなら
    費用対効果が悪いので切る判断をしても仕方ないのでは。

    • by Anonymous Coward

      総務省が、公的機関の認証の信頼元を政府の中でできるようにするために、
      政府の認証基盤を作ったのに、その下部組織であるスポーツ庁がgo.jpドメインで
      政府の認証基盤を使っていないのはいかがなものかと

      • by Anonymous Coward on 2018年06月08日 1時36分 (#3421588)

        https://it.srad.jp/story/18/03/01/072235/ [it.srad.jp]

        そもそもその政府の認証基盤の信用度は (IdenTrust が信用した)Let's Encrypt よりも低いと Mozilla には判断されているわけで。
        さっさと GPKI をたたんで、GPKI 使ってた所全部 Let's Encrypt にしたほうがましなんじゃないでしょうか。
        (と言うまでもなく GPKI 使ってた所は セコムトラストの OV 証明書に移行 [gpki.go.jp] したり、DigiCert の OV 証明書に移行 [hellowork.go.jp] したりしてるみたいですけど。)

        親コメント
        • by Anonymous Coward on 2018年06月08日 9時23分 (#3421713)

          信用度云々の前にMozillaの審査要件すら満たしていないという話では・・・・・単にGPKIの担当者がアホすぎたという問題。
          その「担当者」がアホだろうが何だろうがGPKIの顔だった時代もあるので、今となってはGPKIが意地でもMozillaの軍門に下れるかって状態になってる。

          その「Mozilla」は特に公的権力も持たないただの私的団体に過ぎないのに、証明書チェーンを流用してるプロダクトがあまりにも多くて事実上SSL世界の神になってるってのも問題といえば問題。

          親コメント
          • by Anonymous Coward on 2018年06月08日 10時40分 (#3421766)

            現実問題、満たしてないと主張しているのはMozillaの中の人だけで、国際的な監査法人も認定を出しているし、MicrosoftやAppleなどは認めているんだけどね。

            ただ、認めていないとしているのはMozillaだけ。

            Mozillaとはそう言う組織なのだから、反発しても仕方が無い、大人になれ、と言う意味では担当者に非はあるかもしれない。
            けど、政府側は日本国の法律に基づき、さらに公的機関が認定した監査を行うという手続きを取っているので、それ以上どうしようもないところはある。
            特定の組織だけに特別な対応を実施するような事をしたら、統治機構の崩壊だからな。

            ちなみにGPKIは最終的に大規模な政府電子化の為に考えられているものなので、ただのSSL証明書ではありません。
            というか、証明書ってSSLだけだと思っているのかな。恥ずかしい奴だ

            親コメント
            • by Anonymous Coward

              AppleはMozilla準拠なので認めてないな。
              事実上、端末ベースでルート証明書を認証する権力を握ってるのはMozillaかMicrosoftしかない状態。
              あと監査法人はブラウザに対する支配力を持ってないので統制を証明することはできても権力はない。

              で、Mozillaは公的機関でもなければ何らかの法律で拘束されるわけでもないただの団体。
              「Mozillaルール」が絶対の正義なので、認めてもらいたい側は黙って従う必要がある。

              • by Anonymous Coward

                AppleはMozilla準拠なので認めてない

                いや、認めてる。
                iOSではずいぶん前から乗ってる [apple.com]。

                ApplicationCA2 Root ってのがそれ。

                Mozillaは公的機関でもなければ何らかの法律で拘束されるわけでもないただの団体

                いや、Mozillaも法律によって制限を受けるよ。当然ながら自分のところのルール如何に関わらず、必ず法律が優先する。少なくとも現地法がある。

                この構造は行政側も当然なので、一部だけ特別扱いして対応しなければ駄目だ、と言うルールを振りかざされても行政は当然対

            • by Anonymous Coward

              GPKIをMozillaが信頼しない件のタレコミで粘着されていたアンチMozillaの方でしょうか。
              それとも、"Bug 870185 - Add Renewed Japanese Government Application CA Root certificate [mozilla.org]" で墓穴をほってしまった担当者か、GPKI関係者でしょうか。

              日本政府に忖度して信頼済み証明書にGPKIを加えてしまうようなMicrosoftこそ、信用出来ないです。

              • by Anonymous Coward

                アンチとかなんとかレッテルを貼らないと正しさを証明できないなら発言を慎んだ方がいいと思うよ

              • by Anonymous Coward

                客観的に見てみ。
                団体の名前とか全部象徴化して普通に考えてみ?

                ・先進七カ国に数えられる国の政府が法律・政令に基づき管理しており、法的拘束力がある
                ・国際的な基準に従っている事を、世界三大監査法人の一つが証明している
                ・現在世界でシェアを三分にする環境のうち、2つでは既に使用ができる

                ・法律的裏付けもない任意団体の一職員の判断により、最後のこされた主要環境においては、ユーザーに危険な状況を強いている

                どうして客観視ができないんだろうか。
                自分たちの世界が全てだと思ってしまうと、ああいう反応になるのだと思う。

              • by Anonymous Coward

                別ACだけど
                ほっとけば失効するから、失効管理しないって言っちゃうような
                PKIを信じる方がリスクは大きいと思いますけどね・・・

                DigiNotarでひどいことになったのに
                よく、MSもAppleもリストに入れたよね。

                あれはオランダ政府系でしたっけ?

            • by Anonymous Coward

              Appleが認めているというソース出して

              • by Anonymous Coward

                iOS 11 で利用できる信頼されたルート証明書の一覧 https://support.apple.com/ja-jp/HT208125 [apple.com]
                ここに「ApplicationCA2 Root 」ってのがあるじゃろ。
                FingerPrint:12 6B F0 1C 10 94 D2 F0 CA 2E 35 23 80 B3 C7 24 29 45 46 CC C6 55 97 BE F7 F1 2D 8A 17 1F 19 84
                の奴。

        • by Anonymous Coward

          いや、そんなのは(Mozilla関係なくいずれかの組織が信頼しないのは)、
          GPKIを立ち上げる時にわかっていたわけだし、
          信頼を得るためなら(もっと言うと国民の利便性を考えるなら)、
          どこかの認証局(それこそIdenTrustとか)に信頼された認証局としてスタートして
          ルート認証局を目指すというやり方もあったわけでしょう?
          そうしなかったという事は、利便性(信頼できる認証か判断しずらい)なんて知ったこっちゃないわけだから
          「Mozillaが信用していない」はLet's Encryptを使う理由にはならないかと、

          ドメインを「go.jp」として、認証局をGPKIにしないというのは
          「政府関係の発表の体裁はとるけど、本当に政府関係の発表かは保証しないよ(GPKIでないし)」
          と言っていることになりませんかね?

ソースを見ろ -- ある4桁UID

処理中...