Windows版Firefox 49ではWindowsの証明書ストアにインストールされたルート証明書を使用可能に 26
ストーリー by headless
証明 部門より
証明 部門より
Windows版Firefoxの今後のバージョンでは、企業の環境でインストールされたルート証明書の扱いが変更されるそうだ(Mike's Musingsの記事、
Softpediaの記事)。
Windows版のFirefoxはWindowsの証明書ストアを使用せず、独自の証明書ストアを使用している。そのため、企業のシステム管理者がプライベートネットワークやアプリケーションで使用するルート証明書をWindowsにインストールした場合、Firefoxからはアクセスできなかった。
この問題を解決するため、Firefoxの今後のバージョンではWindowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。また、これによりWindows 8.1のMicrosoft Family Safety機能もFirefoxで使用可能となる。
現在この機能はベータ版のFirefox 49でテストが行われている。オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。
Windows版のFirefoxはWindowsの証明書ストアを使用せず、独自の証明書ストアを使用している。そのため、企業のシステム管理者がプライベートネットワークやアプリケーションで使用するルート証明書をWindowsにインストールした場合、Firefoxからはアクセスできなかった。
この問題を解決するため、Firefoxの今後のバージョンではWindowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。また、これによりWindows 8.1のMicrosoft Family Safety機能もFirefoxで使用可能となる。
現在この機能はベータ版のFirefox 49でテストが行われている。オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。
企業用ね (スコア:3, 興味深い)
なるほど...
なんでFirefox で企業用なんだとおもったら、
IEの更新は止まって、Edgeがあのていたらく...
Googleに何が仕込まれているかわからないChromeは社内用にはちょっと。
そこで Firefox に白羽の矢がたつのですね。
不思議な流れだなぁ。
Re: (スコア:0)
そんな流れはない。
IEにネチネチケチをつけたり、「Googleに何が仕込まれてるかわからない」なんて信じてるのは、すらどの常連だけだから。
たいていの企業は、IE(Google Appsを導入していればChrome)を使って満足しているよ。
Edgeなんて、むしろ迷惑に思った企業がほとんどなんだが、その感覚は学生にはわからんかもね。
今回のFirefoxの件も方向性は正しいと思うが、いくらなんでも遅すぎだなあ。
#個人PCではFirefoxユーザーだけど、会社に導入しようとは思わんな。
Re: (スコア:0)
FirefoxはESR版があるのが大きいよ
Web系のテクノロジを使ったシステムを納入されるとき、FirefoxのESR版を標準として提案されることが結構ある。
IEでも、Chromeも当然動きはするけど、Firefox ESR版なら当社のシステムで使用する部分までだったらFirefoxそのものもサポートする、と言う条件を提示してきて、Firefoxに誘導してくる業者がそれなりにいる。で、ユーザ側は特にこだわりもない事が多いので、半ばそのシステム専用のブラウザとして導入すると言うケースがあるみたい。
Chromeは何が仕込まれているかわからないと言うより、アップデートポリシーが独裁的プロセスで決定されていて、仕様が簡単に変わる、アップデートをコントロールしづらい、と言うのが大きいみたいね。一応Chromeにもfor workと言うエディションがあるようだけど…。
Re: (スコア:0)
オープンソースソフト(自由ソフト)の良さを上手く活かしてるって感じかなぁ…。
Re: (スコア:0)
Chromeは実際仕様がころころ変わってやってらんない
適当でもどうにでもなるwebサービス以外は正直使うのはきっつい
証明書ストアにマスターパスワード (スコア:2)
Firefox のセキュリティ上の優位点としては FIPS を有効にすると証明書ストアにマスターパスワードを効かせることができることだと思っている。とくにクライアント証明書については重要だと思うので残念。
# 本当に暗号化しているかどうかは未確認ですが…
Re:証明書ストアにマスターパスワード (スコア:2)
自分用のクライアント証明書じゃなくて、接続先のサーバのCAルート証明書とかじゃないかと。
社内CAとかの。
Re:証明書ストアにマスターパスワード (スコア:1)
証明書を暗号化するのがセキュリティ上の優位点ってこと?
だとすると、一体なにをいってるの?わけがわからない。
Re:証明書ストアにマスターパスワード (スコア:2)
パスワードで認証するサイトがあったら、たとえブラウザを他人が触れたとしてもパスワードを知っている人が入力するまでログインできませんよね。しかしクライアント電子証明書認証であれば、たとえば IE ならブラウザを操作するだけで認証ができてしまいます。(ですよね?)
Firefox の独自証明書ストアであれば FIPS 設定をすることで電子証明書もマスターパスワードなしでは利用できないように設定できるということです。
Re:証明書ストアにマスターパスワード (スコア:1)
それは分かる(けど、Windowsの証明書ストアってクライアント証明書の利用時にPIN入力必須にできないっけ?)けど、ここではルート証明書の話をしているから。
元コメントでも、「とくにクライアント証明書については重要」と書いてあるけど、そもそも秘密鍵は秘匿する必要があるけど、証明書自体を暗号化する意味ってないよね。
クライアント証明書による認証時にPINが必要なのも、厳密には「証明書」ではなく「秘密鍵」を保護したいわけだし。
Re: (スコア:0)
証明書にアクセスするときにパスワードを必要にできることのどこが優位性なんだよ
kaspersky対策かも? (スコア:2, 興味深い)
企業向けと言ってるけど、
最近のkasperskyが期限切れの独自証明書をFirefoxにインストールしてgoogleが見えなくなるとかあったからその対抗策何で花かなと
ついに日本政府がFirefoxに信頼される? (スコア:1)
今以て対応がなされないからもう一生ダメかもわからんねと思ってたんだけど、意外な形で結着しそうってことかな?
http://security.srad.jp/story/13/12/10/0917220/ [security.srad.jp]
# Windows以外? 誤差誤差
Re:ついに日本政府がFirefoxに信頼される? (スコア:2, 興味深い)
GPKIの中の人が、こんな調子 [mozilla.org]の超お役人対応だから、Firefoxで対応するのは何時の事になるやら…。
Re: (スコア:0)
あーMSが(言葉だけは丁寧な)脅しに屈した奴ね。
まあFirefox自身も
http://security.srad.jp/story/16/09/02/1040209/ [security.srad.jp]
の対応がアレだから代わりを探さないと。
PCとスマホ用で。メンドクセエ。
about:configで (スコア:0)
グループポリシーでそれを設定できなきゃ企業で使える訳がなかろう。
Re:about:configで (スコア:1)
たしかFirefoxってMCDまたはアドオン追加によるグループポリシー対応などで集中管理できたと思うんだが
Re: (スコア:0)
ユーザーの半分以上を占めるであろう企業ユースに必須と言ってもいいグループポリシーに、アドオンで対応とは…
Mozillaにとってエンタープライズ対応ってほんと優先度が低いんだな。
そのアドオンは一体どうやって無人配布すんのよ。
まあ、Firefox本体でもMSIの用意はないらしいからどうしようもないか。
Re:about:configで (スコア:1)
現役PC管理者だけど、サイレントインストール自体は可能だからADのログオンスクリプトでいけるし、
設定自体もMCD用のクライアント側でファイル配置をこれもログオンスクリプトで仕込めばOK。
後はHTTPサーバー側で制御できる。
ちなみに、なんでもADのグループポリシー「だけ」でやってるやつなんて実際にはいないよ。
System Center Configuration Managerですら使いにくい。
ソフトウェア設定関連は結局スクリプト+タスクマネージャーと併用となるパターンが多いね。
Re: (スコア:0)
×タスクマネージャ
○タスクスケジューラ
Re: (スコア:0)
MCDについて一言どうぞ
Re:about:configで (スコア:1)
テストという言葉の意味がわからんのか。実運用ではMCDを使うに決まっているだろ。
むしろ何で今まで独自の証明書オンリーだったのさ (スコア:0)
たいとるおんりー
うーん (スコア:0)
>Windowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。
OSの証明書ストアより、アプリ自身のセットアップの方が信用できると考えてるのか。
なんか日本国債が信用できないからお金は全部普通預金です、みたいな話だな。
Re: (スコア:0)
OS毎にOSに依存した実装より自前で持った方がサポートが簡単だと思ったんじゃねぇの。
猫も杓子もSSL化しようと言い出して、ルート証明書追加だの取り消しだの頻繁に起こる世界を想像してなかったのかも。
Re: (スコア:0)
Lenovo Superfishの問題のように、よくない証明書がプリインストールされて出荷される場合もあるので
独自の認証による証明書ストアは頼りになる場合もある