GoogleがChrome独自のルート証明書プログラムを計画中 40
ストーリー by nagazou
移行 部門より
移行 部門より
あるAnonymous Coward 曰く、
Google ChromeはTLSで使用されるルート証明書を伝統的にOSの証明書ストアから参照していたが、近い将来GoogleはiOS版を除いて独自のルート証明書プログラムへの移行を計画しているようだ(公式ページ)。これはFirefoxと類似のモデルである。
初期ルートストアにはLet's EncryptのISRG Root X1が含まれているので、移行が完了すればChromeがサポートするAndroid 5.0以降ではLet's Encryptの証明書の有効期限切れ問題は解消すると思われる。
オレオレ (スコア:0)
Google「オレオレ」
Re: (スコア:0)
オレ、オレオ
WebViewはやっぱり駄目では (スコア:0)
Android 7.0未満ではGoogle ChromeとWebViewが統合されていないので「Mozilla Firefoxを使え」という回避策とさして変わらないような
Re: (スコア:0)
Webブラウザーではないアプリならアプリ側を更新すれば何とでもなるのでは。
Re: (スコア:0)
WebViewにも独自の証明書ストアを付けるって話???
Re: (スコア:0)
Androidにはビルド時にアプリ毎の証明書を設定する機能がある。
企業なんかがイントラネットで使うためのもの。
ただ、7の時代に有ったのかは知らん。
WebViewがそのストアを参照するのかも知らん。
Re: (スコア:0)
こんな話 [taosoftware.co.jp]があるので、むしろちゃんとチェックするほうが大変なくらいだと思ってた。6年前の記事だが、そもそも古いAndroidの話だし
つまり (スコア:0, 興味深い)
この証明書を無効化するとGoogleやそこからの広告を根こそぎカット出来るんですか?
それなら大歓迎なのですが…
Re: (スコア:0)
証明書*ストア*の話だぞ?
Re: (スコア:0)
そして親コメのバカがプラスモデされるという地獄
まあ馬鹿には証明書ストアを無効にして一切サイトにアクセスできなくなっていただいたほうが平和になるか
Re: (スコア:0)
これ見て連想したのは、ゆくゆくは、Chromeでベストに表示されたかったら、ぐぐるを根とする証明書を(追加で)取れみたいな世の中。
そしたらほんとに、ぐぐるの証明書を止めるのが、一部の集団の理に適うみたいな話になってきてしまうかも。
これは本当に助かる (スコア:0)
こうでない場合、Android 7.1.1未満(20%強)の端末がhttpsのサイトに来年中に接続できなくなるということになるので、Let's Encryptを使うという選択肢がかなり制限されるところでした。
ブラウザーさえも更新しない端末は自己責任ってことで・・
Re: (スコア:0)
一時期Chromeのアプデが原因でいくつかのゲームが正常に動かなくなる問題が起きてから積極的に更新しなくなった
こういうのがなくなるなら常に更新するんだけど
Re: (スコア:0)
これ問題になるのはwebviewじゃなくてアプリ側でhttps通信してる箇所全てだからな
とあるサービスのapiサーバの証明書が新しめのminversionのandroidで入ってなくて苦労した。
javaのhttps証明書ストアを全部google playサービスが用意する証明書ストアに差し替える機能があってそれをonにすればgoolgeに丸投げ出来たけど
影響範囲が大きすぎたから出来なかった。
Microsoftのルート証明プログラム (スコア:0)
Microsoft Trusted Root Certificate Program
https://docs.microsoft.com/en-us/security/trusted-root/release-notes [microsoft.com]
Re: (スコア:0)
EdgeはChromeに追従するのだろうか? 独自パッチを当ててWindows上では従来どおりOSの証明書ストアを参照するのだろうか? 仕組みだけ借りてMicrosoft Trusted Root Certificate Programの証明書ストアを他のOSにも持っていくのだろうか?
GPKI (スコア:0)
Mozillaに蹴られた日本の政府認証基盤(GPKI)のルート証明書を Google が承認するか気になって確認したら、認証局自体が無くなっていたのかい。知らなかったわ。
https://www.gpki.go.jp/apca2/index.html [gpki.go.jp]
まぁ、名前自体もイケてなかったし無くなってよかったですね。
Re: (スコア:0)
国家の発行したルート証明書をインストールするということは、その国にいつでも傍聴を許すのと同じこと。
つまり現状のルート証明局は
下位の証明書を使った通信を
傍聴し放題ということですか
それはとても怖いことですね
Re: (スコア:0)
ちょっと違うよ。できることは偽の証明書を発行しての中間者攻撃。Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 [apple.srad.jp]
Re: (スコア:0)
まぁ確かに、ルート証明書に信頼できない機関が紛れ込んでたら中間者攻撃されても気付かない可能性は高いが。
そういう技術で企業ネットワークではSSLも盗聴してるわけで。
だから証明書の発行機関を確認するのは重要なんだが、iPhoneでは確認手段すら封じてるのはいただけない。
信頼済み機関にはWoSignとかも混ざってるし勘弁して欲しい。
Re: (スコア:0)
仕組みを知らないで、よくそんなコメントが書けるね。
噴飯ものだわw
Re: (スコア:0)
元コメが知ってるかどうかは微妙だが技術的には可能。
信頼できない証明書をインストールするとはこういうこと。
http://nw.seeeko.com/archives/50924117.html [seeeko.com]
Re: (スコア:0)
それルート証明書インストール有無とは関係なくね?
全ての通信をプロキシさせる必要がある上に
証明書の発行元がおなじになるやろ・・・
Re: (スコア:0)
間に一つ挟めば証明書パスを確認しないとわからないから、証明書パスまで確認するような人を除いて、一般の人には判別不能。
Re: (スコア:0)
いやいや、国家が~ってことは全国的に複号するんやろ。
そんなん誰かが気づいて大騒ぎになるじゃないですかー
自分の国が信頼おけないのに外国企業や外国政府の証明書入れるんですね・・・?
Re: (スコア:0)
噴いたご飯粒、拾って食べてね。
Re: (スコア:0)
Mozillaが問題視してたのはそこじゃねーよ。
Re: (スコア:0)
本当のことを言っちゃうと、米国企業叩きに繋がってしまうからな。
Re: (スコア:0)
GPKIの記事でも同じこと言うやつ居たけど、政府系の証明書はそれなりにある。
https://srad.jp/comment/3369717 [srad.jp]
Re: (スコア:0)
政府系だろうが何だろうが、Mozillaのストアに入れてもらいたければMozillaのルールに
従わなけばならないのに、GPKIの担当者がガン無視したのが問題の発端。
「政府」ということを拒否する理由にはしないけど信用する理由にもしない。
あとCNがふざけてたのは規約違反ではなかったけど意味不明だった。やはり担当者がおかしい。
Re: (スコア:0)
Windowsにも権力でムリヤリねじ込ませた感じだったしな。
Edgeはどうするんだろう (スコア:0)
Windowsのを使い続けるのか、Chromeに追従するのか。
Microsoftへの嫌がらせだったりして。
Windowsのを使い続けるなら、UWPのままにしてほしかった・・・
Re: (スコア:0)
Edgeは普通にWindows OSの証明書ストアを参照し続けるだけじゃないの?
Googleは自社OSユーザーの20%強から「F*ck!」「クソOS!」とクレームの嵐になるから対応するけれど、Microsoftは特に困っていない。
Re: (スコア:0)
Chromiumに対する変更として入るだろうから、OSの証明書ストアを参照し続けるために独自の改変を加えるコストを払うのか? という話。
Re: (スコア:0)
独自の改変というか、今までと同じなのだからコミットの取り消しパッチじゃないかな。
Re: (スコア:0)
今まではChromeでアクセスしてもらうためにWindowsの証明書ストアは尊重されてきたけど、これからはWebサービス提供側からはWindowsの証明書ストアはどうでもいいものになるんじゃないかな。
Googleの証明書ストアにさえ対応できればいい、となる。
Firefoxで困ったという話はないから、大した影響はないとは思うけど。
Re: (スコア:0)
「Edgeはどうするんだろう?」という話題なのにそのコメントはなんかずれてる気が
Re: (スコア:0)
GPKIのAPCA2で困ったという話が上にあるじゃん
Re: (スコア:0)
さすがにOS標準のブラウザだから、選択肢は一択じゃないかな。
Chromiumも独自ストアにべったり癒着するようなコード修正はしないのでは、たぶんだけど。