GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に 119
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
日本政府は政府関連サービス向けに認証基盤(GPKI)を提供しているが、Firefoxではそのサポートが遅れており、そのためハローワークなどのサイトがFirefoxでのアクセス時に「接続の安全性が確認できない」と表示される事態になっている(mozillaのbugzilla)。
GPKIの証明書がWindows Updateで配布されたことも以前話題になったが、Firefoxは独自にルート証明書を管理しており、今回は更新された新しいルート証明書がFirefoxに含まれていないために問題が発生しているようだ。
証明書の配布も行われているが、証明書を配布しているwww.gpki.go.jpについてもアクセスすると「接続の安全性が確認できない」という表示がされる状況になっている。
Firefoxだけの問題ではない (スコア:5, すばらしい洞察)
Firefox以外に、手元で試しただけでもMac(Mavericks)上のSafari・Chrome・Operaでも証明書エラーになるわけですが。
同じくCentOS 6.4でwgetした場合も同様。
単にGPKIの中の人がWindows環境以外への対応をわかってないだけではと邪推。
Re: (スコア:0)
そもそも、そいう対応を「自分で」するのがオプソを利用する上での暗黙の前提条件だろうに、関係機関から配布されているのだからさっさと「自分で」設定すればいいだけ。
原因と方法が分かったのだからいちいち騒ぐ必要ない。
Re:Firefoxだけの問題ではない (スコア:2)
ソースをダウンロードしてきて自力でコンパイルするような人にとっては、しかるべき方法で証明書なりフィンガープリントなりを集めないと安全には使えないめんどくさいブラウザ。インストーラ任せが一杯一杯で自力でのカスタマイズにはとても手が出せないような多くのユーザにとっては、安全には使えないブラウザ。
どっちかというと、「うちのブラウザなら日本政府のサイトにも簡単・安全にアクセス出来ますよ!」と宣伝したい側が、頑張って証明書を集めるなりの努力をすべき問題に思えるけど、業界の力関係がそうはなってないのかな。
Re: (スコア:0)
>そもそも、そいう対応を「自分で」するのがオプソを利用する上での暗黙の前提条件だろうに
さすがにそれは暴論かと。
ここでいう証明書を設定する「自分」というのは開発者レベルの話であって、ユーザーではないと思う。
#にしても「オープンソース」を「オプソ」と略す奴にろくな奴はいない印象。
#オープンソースとタイプするのに時間がかかるくらいタイピングが遅い人なのかねえ?
Re:Firefoxだけの問題ではない (スコア:1)
政府認証基盤(GPKI) のホームページ
https://www.gpki.go.jp/ [gpki.go.jp]
から
政府認証基盤(GPKI)の運営に関する情報
の項目の一つ一つのリンク先にあります。
めんどくせぇな。
ハローワークの場合は、「アプリケーション認証局2」のCA証明書でいけるようです。
Windows 7 の場合は、IE もしくは Chrome で接続すると証明書がダウンロードできました。
Re:Firefoxだけの問題ではない (スコア:1)
webtrustという審査に通ったものが載ります
AICPA(米国公認会計士協会)とCICA(カナダ勅許会計士協会)が定めた基準にしたがって各国の会計士(監査法人)が毎年審査するらしい
まだ分かってないのか (スコア:2, 興味深い)
やむを得ず自己署名証明書やフィンガープリントをWeb配信する際には、他の認証局の証明書で保護されなければならない。なぜこれがわからないのか。
GPKIの自己署名証明書のページは平文だし、フィンガープリントのページは暗号化されているがGPKIの証明書で保護されている。GPKIの証明書をインストールするためのフィンガープリントを、GPKIの証明書で保護してどうしろというの?あほちゃうかと。
go.jpのドメインなんだから、ベリサインみたいな高価な証明書はいらないはずなので、それぐらいの予算はあるだろ。
その点、LGPKIの自己署名証明書の配布ページ [lgpki.jp]は完璧。俺みたいに口煩い自治体職員がいるからなと思ったら、いつの間にかベリサインからLGPKIの証明書になっている。ホントに糞。
署名業者を神聖視するなYO (スコア:1)
フィンガープリントが官報(平成23年5月11日第5551号)で公示されているので「他の認証局の証明書で保護」しなくても問題ない
そもそも署名業者の信頼性はブラウザ配布者の胸先三寸で決められているというのに、署名業者を神聖視するのは止めないか?
ブラウザ組み込みのルート証明書の信頼性なんてプライバシーマークの信頼性と似たようなもの
Re: (スコア:0)
GPKIの証明書をやむを得ずwebページで配布してしまっている、という問題もあるが、
根本はFirefoxの対応遅れだろ。
ルート認証局が増えるのに、対応の遅いWebブラウザがあるせいで、足を引っ張られている。
まず、ストーリのタイトルが悪い。
「GPKI(政府認証基盤)の対応遅れにより」
ではなく、
「GPKI(政府認証基盤)への対応遅れにより」
だ。
Re:まだ分かってないのか (スコア:5, 参考になる)
Mozillaは、Mozillaが求める手順でGPKIが手続きを行うのを待っています。
http://forums.firehacks.org/l10n/viewtopic.php?t=2638&start=0&... [firehacks.org]
https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c10 [mozilla.org]
Re:まだ分かってないのか (スコア:1)
事態をさっくり説明してみると、Mozillaにルート証明書を渡すのにオレオレ証明書サイトを使った。
つまり大元コメントの方法。アホちゃうかと。
ちなみにchromeは持ってる。
日本国内に窓口があるかどうかが分かれ目だったりするのかな?
基本的な事だよ、ワトソン君。 (スコア:1)
基盤インフラとしてのCA、TSA,TAA、NTA周りから、
利用者登録/修正/削除管理と紐付いた各種電子署名
証明書発行/再発行/失効管理+契約管理+課金管理、
電子署名/署名検証/アーカイブ署名管理などなど、
最低↑の基本的な事が一周するまで待つしか無いです(走召糸色木亥火暴)
"castigat ridendo mores" "Saxum volutum non obducitur musco"
Re: (スコア:0)
えーっと、直属の上司から、課長決済、部長決済、事業部長決済、社長決済をパスして稟議が下りるようなものですね。
#Dellの特売期間終わっちゃったよ。
IEとかChromeとかのルート証明書更新手続きはもっと簡単なの? (スコア:1)
Mozillaのはとりあえずこの黄色いところをちゃんと埋めてねってことらしい。
https://bug870185.bugzilla.mozilla.org/attachment.cgi?id=787050 [mozilla.org]
屍体メモ [windy.cx]
OS、ブラウザごとの対応状況 (スコア:1)
Windows(11月の更新で今回問題になってる証明書をOSの証明書ストアに追加済)
・IE:OK
・Firefox:NG
・Chrome:OK(Windowsの証明書ストアを共用してるため)
・Opera (Blink):OK(Windowsの証明書ストアを共用してるため)
・Opera (Presto):NG
Mac OS X, iOS(今回問題になってる証明書はOSの証明書ストアに追加されていない)
・Safari:NG
・Firefox:NG
・Chrome:NG
・Opera:NG
Linux(今回問題になってる証明書はOSの証明書ストアに追加されていない)
・Firefox:NG
・Chrome:NG
・Opera:NG
Android(今回問題になってる証明書はOSの証明書ストアに追加されていない)
・標準ブラウザ:NG
・Firefox:NG
・Chrome:NG
・Opera:NG
政府つながり (スコア:1)
フランス政府系認証局が不正な中間証明書を発行 [mynavi.jp]、なんてニュースが・・・何やろうとしたんだフランス政府。
ワークアラウンド (スコア:0)
しごと情報ネット 2013年11月29日 【重要なお知らせ】セキュリティ証明書の更改に伴う影響について
http://www.job-net.jp/info.html#n01 [job-net.jp]
Re:ワークアラウンド (スコア:2, 興味深い)
これアカンやつや。
http://www.job-net.jp/info.html#n01 [job-net.jp]
→ アプリケーション認証局2 [gpki.go.jp]
→ Firefoxをご使用で上記リンク先に進んだ際に「接続の安全性を確認できません」が表示される方はこちら [gpki.go.jp]
→ アプリケーション認証局2(Root)の自己署名証明書
最後はあえてリンク外したが、Firefox向けには平文でDLさせようとしてる。
Re:ワークアラウンド (スコア:1)
フィンガープリントをチェックさせようとしているから、ダウンロード自体は平文でもよい。
問題は、そのフィンガープリントを記載したページがGPKIの証明書で保護されたHTTPSのページだってこと。
Re:ワークアラウンド (スコア:2, すばらしい洞察)
だから警告メッセージをむやみに無視させんなって。
そんな癖付けさせるからマルウェアやフィッシングサイトで被害を受ける人続出なんだって。
だからワークアラウンドは
・警告がでたら従ってサイトへのアクセスは中止する。必要なことは実際に訪れるなどで果たす。
・信頼出来るブラウザに変える。
で良いんだって。
そんなに変なこと? (スコア:0, おもしろおかしい)
日本の公的機関サイトへアクセスしたら、ブラウザが
「政府認証基盤により発行された証明書を信用しますか?」
と質問してくる、という話でしょ。
さして変な挙動とは思えないんだけど。
(まあ意図が分かり難い警告画面だけどさ)
ベリサイン発行の証明書とかは、初期設定で既に
「信頼して、二度と警告を出さない」と設定されて
いるだけで、本来ならベリサイン発行の証明書でも
質問してくるのが正しい挙動でしょ。
実際、初期登録のリストを消せばそういう挙動になる。
ユーザの中には
「日本政府のお墨付きなんて信用できない!」
って言って毎回確認しようとする奇特な人も、
もしかしたらいるかも知れない。
電子証明書の仕組を理解していれば問題ないわけで、
どちらかというと問題は、仕組を理解していない人が
多過ぎることなんじゃないの。
Re:そんなに変なこと? (スコア:1)
日本の公的機関サイトを騙るサイトにアクセスしたら、ブラウザが
「政府認証基盤により発行された証明書を信用しますか?」
と質問してくる、という話だよ。
> 電子証明書の仕組を理解していれば問題ないわけで、
> どちらかというと問題は、仕組を理解していない人が
> 多過ぎることなんじゃないの。
全く同意するよ。
Re: (スコア:0)
日本の公的機関サイトを騙るサイトが政府認証基盤の証明書による認証を受けることはできないでしょう。
日本の公的機関サイトを騙るサイトが政府認証基盤の証明書を騙る証明書による認証を受けることはできるでしょうけど。
Re: (スコア:0)
それをどうやって見分けるの?
Re: (スコア:0)
さあ? 証明書をよく読む…とか?
Re: (スコア:0)
違うね。
政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、
本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。
どちらも挙動はかわりませんよね。
だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。
一般の人にフィンガープリント見ろとか無理ありすぎだしね。
> 電子証明書の仕組を理解していれば問題ないわけで、
> どちらかというと問題は、仕組を理解していない人が
> 多過ぎることなんじゃないの。
その通りですね。
Re: (スコア:0)
>政府認証機関を語ったサイトが自分で作った証明書を提示して信用してくれと言う場合と、
>本物の政府認証機関のサイトが政府の証明書を提示して信用してくれと言う場合と。
>どちらも挙動はかわりませんよね。
挙動が変わらない理由は、ブラウザは「真贋」ではなく
「信用に足るか否か」を確認しているからでしょ。
中間証明書発行業者がハックされて「本物のお墨付きの偽証明書」
が発行された事例は、実際あるし。
信用できない本物の証明書発行機関、というものも存在する。
「信用に足るか否か」は個人の裁量の範囲でしょ。
>だからルート証明書をしかるべき手順でブラウザが持って判断するわけで。
そ
Re: (スコア:0)
半端な知識では保身できないいい例だねぇ。
中間証明書のクラックの件は知ってるけど、dnsの危険性はご存じでない?
検索結果が正しくてURLも正しくても、接続する先の端末が正しいとは限りません。
つまり、公式サイトに行ったつもりが偽装サーバに繋いでて、そんなところからダウンロードした証明書は偽物なわけですよ。
公式サイトが公式であるかの証明はサーバ証明書で行うけど、サーバ証明書は公式サイトからダウンロードするって、本末転倒ですよね。
証明書の手動インストールは、一般人にはかえって危険だと私は思うんですけどね。
ご指摘の中間証明書の漏洩に対応するために、削除方法は知っとくべきですけど。
ちなみにブラウザが判断しているのは、信用に足るかどうかでなく、真贋ですよ。
しかるべき手続きを受けてインストールされているCAで署名されているかどうか。それだけです。
だから中間証明がクラックされると危険。
Re: (スコア:0)
自己レス。
読み返してて気づいたけど、証明書と認証局ごっちゃにしてる。
ほんとごめん。
私が書いた「中間証明」「中間証明書」は、正しくは中間認証局。
Re: (スコア:0)
サイトのURLが信用できたって、そのURLを問い合わせてDNSから返ってきたIPアドレスは信用出来ないでしょ。
それが信用できるというなら証明書なんか必要ない。
Re: (スコア:0)
中間者攻撃があるからURLが正しいからといって正しい証明書といえるかはわからないっていうのがもとコメのいいたいことだろ。
URLが正しければ内容が正しいならそもそもSSLなんていらない。
別途信用のある経路(官報)などでフィンガープリントを配っておいて、信用のない経路で中間証明書を配って両者のフィンガプリントが
一致することで信頼を担保するしかないわけ。
そんな手間隙かかることを普通の人ができないからブラウザーメーカーにGKPIの中間証明書をいれてもらう協力を政府が依頼してい
るのだけどMozillaは協力してくれないってだけ。
Re:そんなに変なこと? (スコア:1)
そんな手間隙かかることを普通の人ができないからブラウザーメーカーにGKPIの中間証明書をいれてもらう協力を政府が依頼しているのだけどMozillaは協力してくれないってだけ。
Mozillaは協力してくれないって?
依頼手続きが間違っているのでやり直してとMozillaがコメントしたのが2013-08-08 04:00:14 JST。
その後、gpki.go.jpさんのコメントは無し。
https://bugzilla.mozilla.org/show_bug.cgi?id=870185#c7 [mozilla.org]
Re:そんなに変なこと? (スコア:1)
承認とかじゃなく単なる書類不備に見える
ここ埋めて再提出、って突っ返してる
テストURL用意しろ、とか不備の指摘も妥当と思う
別に政府の存在を否定してるわけじゃない
Re: (スコア:0)
> 一般の人にフィンガープリント見ろとか無理ありすぎだしね。
じゃ、一般の人が安全にインターネットを使うのなんて無理だね。
いいんじゃない、そういう人たちはマルウェアかなんか拾って
踏み台にでもなってれば。
Re:そんなに変なこと? (スコア:1)
そいう事やね。政府としては政府が保証する証明書を作ったので入れてよ。ってことだったが、
その証明書を証明してみろ!と言われたのでどうするかと言うことだね。前回同様にやるだろうから
無意味に祭りにしないで待ってればいいだけ、WEBを使いたかったらちゃっちゃと自分で登録すればいい。
そもそも論で言えば日本政府に日本政府であることを俺様が信用している誰かに証明してもらえ言うほうが木違いじみている。モジラが日本政府に直接証明書の発行を申請して、もらった証明書を登録するのが手順であろう。それが国家権力と言うものであり、本来なら国家権力を侵害する行為なのだからモジラと日本で戦争になってもおかしくない。最終的には映画「モジラvs自衛隊」を作成するべきだろう。
で、 (スコア:0)
職安のウェブサイトに証明書がついてないと何か問題あるの?
Re:で、 (スコア:2, おもしろおかしい)
本気が出せない。つまり・・・
接続の安全性が確認できてから本気出す
Sleipnirでも同じ警告が出るね (スコア:0)
Chromeも別管理なのかしら。
お役所主義対決 (スコア:0)
利用者の利便性より、自分の決めた手続や都合を相手に押しつけることしか考えてない、
お役所的な組織どうしの間で起きた齟齬って感じだね
どっちのやってることも間違ってないんだから、仕方ないというほかない
Re:お役所主義対決 (スコア:2, 参考になる)
GPKI「新しい証明書認めてよ」
Mozilla「んじゃ必要な情報英訳して。テストサーバも用意してよ」
GPKI「英訳したよ」
Mozilla「これとこれとこれと…いろいろ情報不足してるから追加で提出してよ。テストサーバまだ?あと、証明書そのもののダウンロードもその証明書を信用しないとできないんだけど。当座は古いのと新しいのでクロス署名すれば互換性は確保できるからやったらどうかな?」
GPKI「……(4か月沈黙)」
Mozillaのどこにお役所体質が?
ブラウザとして無条件に信用することになるルート証明書の追加なんだから、自ら決めた規定に則って慎重にやるのは当然でしょ
4か月音沙汰なしのGPKIにすべての原因がある
むしろ現在でも不要なルート証明書多すぎ (スコア:0)
選択してルート証明書を入れるという作業が万人向けとは思ってないので、
あくまで個人的見解としてだが。
DigiNotarの件があってからは、プリインのルート証明書なんてVeriSign等の
極少数でええやん、と思うようになってしまった。
中間認証局だけど、最近もこんなことがあったし。
Googleドメイン用の不正証明書が発行される、各社が失効措置へ [itmedia.co.jp]
あとは利用者が必要に応じてインストールできるように、しかるべき手順で
ルート証明書を配布してくれてるといいのだが。
配布するサイトのサーバ証明書を自前で発行されると面倒だな、仕方ないけど。
Re:売国奴の仕業 (スコア:2, すばらしい洞察)
朝から出てくるユーモアがそれですか
どんだけすさんだ人生なんですか
Re: (スコア:0)
工作員ぽいけどな
Re: (スコア:0)
留置場が足らないことが予測されますが、どうしますか?
Re: (スコア:0)
代用監獄を通常運用すれば問題ありません
Re: (スコア:0)
なるほど。では刑務所が足らないのはどうしましょう?
Re: (スコア:0)
最高刑を死刑にして、それに満たない連中は国外追放で。
Re: (スコア:0)
何か勘違いしてない?タイーホと逮捕は似て非なるものだ。
批判するくらいなら直せ (スコア:0)
ネタだろうけど、OSSなんだから、~が悪いとか言ってる暇があるなら自分も修正に参加すればいいじゃないか。
既にBugzillaにも登録されているんだから。
Re: (スコア:0)
Bugzillaを見ればわかると思いますが、ボールはGPKIにあります。