ツリー一括表示
Message mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/12(Sun) 18:19) (#58502)
|-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /pal (15/04/12(Sun) 19:14) (#58503)
||-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /dbx (15/04/12(Sun) 22:41) (#58504)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /dbx (15/04/12(Sun) 22:47) (#58505)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /aides (15/04/13(Mon) 02:24) (#58506)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /dbx (15/04/13(Mon) 09:16) (#58507)
||-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /maji (15/04/13(Mon) 20:43) (#58511)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/13(Mon) 21:56) (#58513)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /maji (15/04/14(Tue) 01:39) (#58516)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /のらねこ (15/04/15(Wed) 01:43) (#58522)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /maji (15/04/15(Wed) 22:21) (#58529)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /のらねこ (15/04/16(Thu) 00:17) (#58530)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /pal (15/04/13(Mon) 11:04) (#58508)
|-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /pal (15/04/13(Mon) 11:04) (#58509)
|-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/13(Mon) 19:56) (#58510)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /のらねこ (15/04/14(Tue) 00:40) (#58515)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/14(Tue) 11:53) (#58517)
||-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /maji (15/04/14(Tue) 23:21) (#58520)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/15(Wed) 00:19) (#58521)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /maji (15/04/15(Wed) 21:31) (#58528)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /のらねこ (15/04/14(Tue) 22:40) (#58519)
|-Message 質問(Re: mozilla製品群に含まれる日本政府のルート証明書について) /maji (15/04/13(Mon) 21:06) (#58512)
LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /のらねこ (15/04/14(Tue) 00:36) (#58514)
LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/14(Tue) 12:13) (#58518)
|-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /のらねこ (15/04/15(Wed) 01:50) (#58523)
||-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /Cai (15/04/15(Wed) 19:13) (#58526)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/16(Thu) 19:31) (#58532)
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/17(Fri) 09:43) (#58533) 済!
||LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /片峰建太郎 (15/04/29(Wed) 09:08) (#58540)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /dbx (15/04/15(Wed) 09:22) (#58525)
|-Message Re: mozilla製品群に含まれる日本政府のルート証明書について /pal (15/04/15(Wed) 07:42) (#58524)
|LMessage Re: mozilla製品群に含まれる日本政府のルート証明書について /aides (15/04/16(Thu) 03:28) (#58531)
LMessage まとめ&別の問題(Re: mozilla製品群に含まれる日本政府のルート証明書について) /maji (15/04/18(Sat) 10:24) (#58534)


mozilla製品群に含まれる日本政府のルート証明書について
(#58502) 親階層
片峰建太郎 の投稿 : 2015/04/12(Sun) 18:19:09
http://www.e-tax.nta.go.jp/download/rootCertification.htm
(環境: Linux/Safari)

翻訳等でお世話になっております。
mozilla製品群に含まれる日本政府のルート証明書についてですが、
2015年4月現在、
-----
発行対象
一般名称(CN) -
組織(O) Japanese Goverment
部門(OU) ApplicationCA
シリアル番号 31
発行者
一般名称(CN) -
組織(O) Japanese Goverment
部門(OU) ApplicationCA
証明書の有効期間
発行日 2007年12月13日
有効期限 2017年12月13日
証明書のフィンガープリント
SHA-256フィンガープリント
2D:47:43:7D:E1:79:51:21:5A:12:F3:C5:8E:51:C7:29:A5:80:26:EF:1F:CC:0A:5F:B3:D9:DC:01:2F:60:0D:19
SHA1フィンガープリント
7F:8A:B0:CF:D0:51:87:6A:66:F3:36:0F:47:C8:8D:8C:D3:35:FC:74
-----
のものしか存在しない状態ではないでしょうか?
日本政府は政府認証基盤の更改を行っており、その結果http://www.e-tax.nta.go.jp/topics/topics_251206_rootca.htmによると
>政府認証基盤(GPKI)の更改に伴い、平成26年1月6日(月)から、e-Taxで利用するルート証明書が、政府共用認証局(アプリケーション認証局)発行のものから政府共用認証局(アプリケーション認証局2)発行のもの(新ルート証明書)に変更になります。
の様になっている様です。
この対象はe-Taxだけにとどまらず、e-gov.go.jpドメインのいくつかのサイトが、Firefox等でアクセスすると「接続の安全性を確認できません」となり(例外を認めない限り)アクセス出来ない状態になってしまっている様です。
これは不便ですし、自国の政府機関へのアクセスがデフォルトで入っているルート証明書で行えないのは外聞が悪いので、日本政府が発行しているルート証明書を取り込むようmozilla開発陣に要請していただけませんでしょうか?
何卒よろしくお願いいたします。

[メール転送/OFF] / 返信

(環境: Win 7/Other)

> この対象はe-Taxだけにとどまらず、e-gov.go.jpドメインのいくつかのサイトが、Firefox等でアクセスすると「接続の安全性を確認できません」となり(例外を認めない限り)アクセス出来ない状態になってしまっている様です。


http://www.e-tax.nta.go.jp/
http://www.e-gov.go.jp/
Firefox 37.0.1で問題なく接続できます。

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

> > この対象はe-Taxだけにとどまらず、e-gov.go.jpドメインのいくつかのサイトが、Firefox等でアクセスすると「接続の安全性を確認できません」となり(例外を認めない限り)アクセス出来ない状態になってしまっている様です。
>
>
> http://www.e-tax.nta.go.jp/
> http://www.e-gov.go.jp/
> Firefox 37.0.1で問題なく接続できます。

こちらでも検証してみたところ、確かに”いくつかのサイト”で、同現象がおきます。

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

訂正です。
誤:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0
正:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.01

[メール転送/OFF] / [親58502] 返信

(環境: WinVista/Other)

当方でも問題有りません。

Mozilla/5.0 (Windows NT 6.0; rv:40.0) Gecko/20100101 Firefox/40.0 ID:20150411030207

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

下記などで、こちらのFirefoxでは現象がおこるのですが、、、当方の勘違いだったらすみません。

https://clientweb.e-tax.nta.go.jp/UF_WEB/WP000/FCSE00001/SE00S010SCR.do

[メール転送/OFF] / [親58502] 返信

(環境: Other/DoCoMo)

#58507 の dbx さん(投稿:2015/04/13(Mon)09:16:06,環境:Win7/Other)
maji です。


> 下記などで、こちらのFirefoxでは現象がおこるのですが、、、当方の勘違いだったらすみません。
> https://clientweb.e-tax.nta.go.jp/UF_WEB/WP000/FCSE00001/SE00S010SCR.do


せっかくの議論に水を差す様で申し訳ないのですが
そもそも e-Tax のサイトは Firefox動作保証されていません。

http://www.e-tax.nta.go.jp/systemriyo/systemriyo1.htm

私は個人で(法人では無いとの意味) e-Tax 使い確定申告してますが、
最初に e-Taxした際に Firefoxでうまく処理できず
何故かな?とあちこち検索し上述の推奨環境のページに辿り着き
しかたなく IE で処理しました。
かなり昔の話なので何がどう動かなかったか記憶は薄いですが
今回話題となってるセキュリティ証明の問題では無く別の要因だった様に思います。
その後も
毎年々々の確定申告の前に動作環境ページを確認してますが
今年も上記 URLの通り対象外なままなので IE を使いました。

私自身の過去の経験から
もしセキュリティ証明の問題がクリヤしたとしても別の障害が出てくる可能性が高いと思われ、
その際にはセキュリティ証明による事象か他の要因による事象か区分け付かなくなる可能性が高く、
もしセキュリティ証明の問題を議論されたいのであれば
e-Tax では無い他のサイトを事例に示していただ方が
正確な事象切り分けとなるかと思います。


では。



.

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

e-Taxは例です。
他にはパブリックコメントの意見提出フォーム等もありますが、日本政府発行のApplicationCA2 Sub等がルート証明書として取り込まれていない場合はエラーが発生します。(エラーコード: sec_error_unknown_issuer)

> #58507 の dbx さん(投稿:2015/04/13(Mon)09:16:06,環境:Win7/Other)
> maji です。
>
>
>>下記などで、こちらのFirefoxでは現象がおこるのですが、、、当方の勘違いだったらすみません。
>>https://clientweb.e-tax.nta.go.jp/UF_WEB/WP000/FCSE00001/SE00S010SCR.do
>
>
> せっかくの議論に水を差す様で申し訳ないのですが
> そもそも e-Tax のサイトは Firefox動作保証されていません。
>
> http://www.e-tax.nta.go.jp/systemriyo/systemriyo1.htm
>
> 私は個人で(法人では無いとの意味) e-Tax 使い確定申告してますが、
> 最初に e-Taxした際に Firefoxでうまく処理できず
> 何故かな?とあちこち検索し上述の推奨環境のページに辿り着き
> しかたなく IE で処理しました。
> かなり昔の話なので何がどう動かなかったか記憶は薄いですが
> 今回話題となってるセキュリティ証明の問題では無く別の要因だった様に思います。
> その後も
> 毎年々々の確定申告の前に動作環境ページを確認してますが
> 今年も上記 URLの通り対象外なままなので IE を使いました。
>
> 私自身の過去の経験から
> もしセキュリティ証明の問題がクリヤしたとしても別の障害が出てくる可能性が高いと思われ、
> その際にはセキュリティ証明による事象か他の要因による事象か区分け付かなくなる可能性が高く、
> もしセキュリティ証明の問題を議論されたいのであれば
> e-Tax では無い他のサイトを事例に示していただ方が
> 正確な事象切り分けとなるかと思います。
>
>
> では。
>
>
>
> .

[メール転送/OFF] / [親58502] 返信

(環境: WinNT/Other)

#58513 の 片峰建太郎 さん(投稿:2015/04/13(Mon)21:56:13,環境:Linux/Other)
maji です。
当方の環境は Windows 8.1 Pro + Firefox 37.0.1 です。



1) 前提の確認

> e-Taxは例です。

e-Tax例として

https://clientweb.e-tax.nta.go.jp/UF_WEB/WP000/FCSE00001/SE00S010SCR.do

> 他にはパブリックコメントの意見提出フォーム等もありますが、

たとえばの例として

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=155150714&Mode=0

のページの下部の「 意見提出フォームへ >> 」ボタン、かな。



2) 証明インストール&テスト

上記それぞれのページでセキュリティ証明関連エラーでる事を確認した上で
以下の

政府認証基盤(GPKI)のホームページ
http://www.gpki.go.jp/

の中の

※Firefoxをご使用で「接続の安全性を確認できません」が表示される方はこちら
http://www.gpki.go.jp/apca2/guidance_firefox.html

に記された手順にて

・アプリケーション認証局2(Root)の自己署名証明書

をインストールしました。

その上で上述の二つの例ページへ飛ぶと
セキュリティ証明関連のエラーは出ずに次のステップへ進めました。
ただし
最初の e-Taxのページは利用時間外との事で「メンテナンス中」ページ表示のみ。
二番目のパブリックコメント意見提出フォームはちゃんとフォームが表示されました。



3) 現時点の結論

とりあえず前項の通り必要な自己署名証明書を手動でインストールしてやれば
該当のセキュリティ証明関連のエラーは出ずに次のステップへ進めます。

確認いただける様お願いします。




では。





.

[メール転送/OFF] / [親58502] 返信

(環境: WinNT/Other)

> ※Firefoxをご使用で「接続の安全性を確認できません」が表示される方はこちら
> http://www.gpki.go.jp/apca2/guidance_firefox.html
>
> に記された手順にて
>
> ・アプリケーション認証局2(Root)の自己署名証明書
>
> をインストールしました。

インストールした証明書が改ざんされていないと断言できますか?

> その上で上述の二つの例ページへ飛ぶと
> セキュリティ証明関連のエラーは出ずに次のステップへ進めました。

エラーが出ずに SSL で保護されたページが表示できますが、そこに書かれた内容を
信頼できると判断できますか?

フィンガープリントで確認するように書かれていますが、フィンガープリントは
改ざんされている *かも* しれない証明書で守られたものです。フィンガー
プリントの値は信頼できますか?

とまぁ、そういう話かと。

[メール転送/OFF] / [親58502] 返信

(環境: Other/DoCoMo)

(#58522)の のらねこ さん(投稿:2015/04/15(Wed)01:43:43,環境:WinNT/Other)
maji です。


>> ※Firefoxをご使用で「接続の安全性を確認できません」が表示される方はこちら
>>http://www.gpki.go.jp/apca2/guidance_firefox.html
>>に記された手順にて
>>・アプリケーション認証局2(Root)の自己署名証明書
>>をインストールしました。
>
> インストールした証明書が改ざんされていないと断言できますか?
>
>>その上で上述の二つの例ページへ飛ぶと
>>セキュリティ証明関連のエラーは出ずに次のステップへ進めました。
> エラーが出ずに SSL で保護されたページが表示できますが、そこに書かれた内容を
> 信頼できると判断できますか?
>
> フィンガープリントで確認するように書かれていますが、フィンガープリントは
> 改ざんされている *かも* しれない証明書で守られたものです。フィンガー
> プリントの値は信頼できますか?
>
> とまぁ、そういう話かと。


まぁ、私も「そういう話」かとは思うのですが、
とは言いつつも
今回のパブリックコメントのページのある
電子政府のサイト e-Gov ( http://www.e-gov.go.jp/ )では
以下のお知らせ

サーバ証明書の変更のお知らせ
http://www.e-gov.go.jp/news/egov/2014/news20140929-2.html

にある通り
今回の手動による手順を公認しきっちゃってますね〜。

これはコレで
私も いかがなものか とは思います。


では。



.

[メール転送/OFF] / [親58502] 返信

(環境: WinNT/Other)

> サーバ証明書の変更のお知らせ
> http://www.e-gov.go.jp/news/egov/2014/news20140929-2.html
> にある通り
> 今回の手動による手順を公認しきっちゃってますね〜。

複数のサーバが改ざんされることなんてない!と考えるなら、サイトに提示されて
いる方法でOKです。

> これはコレで
> 私も いかがなものか とは思います。

ですよね〜。

www2.gpki.go.jp にフィンガープリント、www.gpki.go.jp に証明書とで複数の
サーバが改ざんされない限りは大丈夫!としているようですが、IP が1つ違いで
管理上も設置場所もほとんど同じになっていそうなところが怖いです(笑

管理上近いということは「ごっそり」やられるということもありうるかなと。
そう考えたとき、この手順は安全ではないといえます。安全と思われる方法と
しては安全な経路でフィンガープリントを入手して比較できればいいので、
Windows 上で IE を使いフィンガープリントを表示して確認とかになるかと
思います。
Linux の場合、安全なルートで取得したもの(たとえばIEで表示印刷する)を
搬送してそれを使って確認するということになりそうです。


こんなことを考えなきゃいけないことが面倒です(笑


みんなに安全に使ってもらうためには?ということで片峰さんのポストになったの
かな、と思いました。

# Windows Update での配信は一応セキュアなはずなので、MS が入手した証明書が
# 間違っていない限り、信頼できる証明書と言えるはずです。
# Windows に入っている証明書を信頼できない!とすると、Windows を使っている
# 限り安全ではないということになりますので、そこまで言う人は総務省に直接
# 出向くとかしないとダメですね。
## あと、この辺は私のつたない知識と個人的な意見によるものなので、間違って
## いるかもしれません。間違い勘違いがあったら教えてくださいね。

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

> 下記などで、こちらのFirefoxでは現象がおこるのですが、、、当方の勘違いだったらすみません。
>
> https://clientweb.e-tax.nta.go.jp/UF_WEB/WP000/FCSE00001/SE00S010SCR.do


https://support.mozilla.org/ja/kb/connection-untrusted-error-message

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

> 日本政府は政府認証基盤の更改を行っており、その結果http://www.e-tax.nta.go.jp/topics/topics_251206_rootca.htmによると
> >政府認証基盤(GPKI)の更改に伴い、平成26年1月6日(月)から、e-Taxで利用するルート証明書が、政府共用認証局(アプリケーション認証局)発行のものから政府共用認証局(アプリケーション認証局2)発行のもの(新ルート証明書)に変更になります。
> の様になっている様です。


この変更は1年以上前の話。
この1年間でご利用されていましたか?
問題なく利用できていたのなら、現在利用できないのは別の話かと。

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

皆さん返信ありがとうございます。

自己レスとなってしまいますが、これはおそらくWindowsでは発生しない問題なのではないかと思います。
WindowsはおそらくMicrosoftが証明書を配布しているので、日本政府が配布した新しいルート証明書がFirefoxによって使用されているのだと思います。

当方はLinux(Fedora 21)を利用しているのですが、このOSにおいては
ca-certificates
というパッケージがシステムにおけるルート証明書を扱っています。
少しややこしいのですが、このパッケージの開発元(ファイル提供元と言う方が適切か)は
https://fedoraproject.org/wiki/CA-Certificates
に書かれているようにFedora ProjectではなくMozilla Foundationで、Mozilla側が選定した証明書がFedoraに取り込まれてca-certificatesパッケージとして提供されるようになっています。

つまり、ここで本来取り込むべき証明書(ここでは日本政府の新しい証明書)がFedora Linuxで利用できない(他ディストリビューションでも同様の事態は多いでしょう)のはMozilla Foundationが証明書を取り込み忘れているから、という理由なのです。
Windowsというシェアの大きなOSにおいては問題は顕在化しませんが、他OSにおいてはインターネットで使われる証明書をMozilla Foundationが選定するものに頼っている事も多いので、Mozilla Foundationで取り込む証明書に日本政府の新しい証明書を追加していただきたく思います。そうすれば何もせずに新しい証明書を使うgo.jpのサイトにアクセス出来るようになりますので。

この証明書取り込み忘れ問題、もじら組様からMozilla開発陣に連絡していただきたく思います。
何卒よろしくお願いいたします。

[メール転送/OFF] / [親58502] 返信

(環境: WinNT/Other)

> 自己レスとなってしまいますが、これはおそらくWindowsでは発生しない問題なのではないかと思います。
> WindowsはおそらくMicrosoftが証明書を配布しているので、日本政府が配布した新しいルート証明書がFirefoxによって使用されているのだと思います。

そんなことはありません。Windows の証明書ストアは参照していないので同じです。

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

> > 自己レスとなってしまいますが、これはおそらくWindowsでは発生しない問題なのではないかと思います。
>>WindowsはおそらくMicrosoftが証明書を配布しているので、日本政府が配布した新しいルート証明書がFirefoxによって使用されているのだと思います。
>
> そんなことはありません。Windows の証明書ストアは参照していないので同じです。

情報ありがとうございます。しかしすると何故Windowsでは問題無いのでしょうね…。

[メール転送/OFF] / [親58502] 返信

(環境: Other/DoCoMo)

(#58517)の 片峰建太郎 さん(投稿:2015/04/14(Tue)11:53:25,環境:Linux/Other)
moji、、、ぢゃなかった、、、maji、です。



>>> これはおそらくWindowsでは発生しない問題なのではないかと思います。
>>> WindowsはおそらくMicrosoftが証明書を配布しているので、
>>> 日本政府が配布した新しいルート証明書がFirefoxによって使用されているのだと思います。
>>
>>そんなことはありません。Windows の証明書ストアは参照していないので同じです。
>
> 情報ありがとうございます。
> しかしすると何故Windowsでは問題無いのでしょうね…。


1) まず 1点目。

情報が正しく伝わっていない様なので、
あらためて記載しなおします。

(#58516)でも報告しましたが
Windows環境での Firefoxでも問題は生じます。
当方の Windows8.1 + Firefox で
別投稿でレイとして挙げた 2つのページで

「接続の安全性を確認できません・エラーコード: sec_error_unknown_issuer」

のエラーが発生します。
よって
Linux か Windows かの OS区分によらず Firefoxで共通的に生じる問題です。

ちなみに Firefox に限らず Android の標準ブラウザでも同じエラーは生じてます。
要は
OS 及びブラウザ種類に依存せず
・アプリケーション認証局2(Root)の自己署名証明書
が導入されて無い際の共通な問題だと
思われます。


2) Windows での対処

(#58516)でも報告した通り

政府認証基盤(GPKI)のホームページ
http://www.gpki.go.jp/

の中の

※Firefoxをご使用で「接続の安全性を確認できません」が表示される方はこちら
http://www.gpki.go.jp/apca2/guidance_firefox.html

に記された手順にて

・アプリケーション認証局2(Root)の自己署名証明書

を手動でインストールする事により問題は解消されます。


3) Linux での対処

手元の LinuxMint ( LMDE MATE Edition ) の Firefox でテストしました。
同じエラーを確認しました。

その上で上述の

※Firefoxをご使用で「接続の安全性を確認できません」が表示される方はこちら
http://www.gpki.go.jp/apca2/guidance_firefox.html

を実施したところ
該当のエラーは出ず問題は解消しました。
つまり
Linux でも上述の 政府認証基盤(GPKI)のホームページ に記載の手順は有効で
片峰建太郎 さんが要望された Mozilla側の対処を待つまでもなく
手動で自己署名証明書を取り込む事により対処可能です。

片峰建太郎 さんの Linux(Fedora21) でも同じだと思われます。
ご確認下さい。



以上 3点に分けて当方でのテスト状況をまとめました。

では。



.

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

majiさん、どうもありがとうございます。
証明書を取り込めば問題なくアクセス出来ますが、これはあまりよろしくない状況であるのではないかと思います。
またブラウザ利用者にその作業を強いるのは負担が大きいかと。

http://www.gpki.go.jp/apca2/guidance_firefox.html
のページで行うと比較的容易に行えますが、これもセキュリティ的には望ましくない(チェインから外れた)行いになります。

個人としての対処としては証明書取り込みで良いでしょうが、(信頼できる)ルート証明書はあらかじめ取り込んでおくのがセオリーだと思われます。
今回のフォーラムへの投稿はやり方の質問というよりも、Mozilla製品についてのバグ報告の側面の方が強いです。

[メール転送/OFF] / [親58502] 返信

(環境: Other/DoCoMo)

(#58521)の 片峰建太郎 さん(投稿:2015/04/15(Wed)00:19:09,環境:Linux/Other)
maji です。


> majiさん、どうもありがとうございます。
> 証明書を取り込めば問題なくアクセス出来ますが、これはあまりよろしくない状況であるのではないかと思います。
> またブラウザ利用者にその作業を強いるのは負担が大きいかと。
>
> http://www.gpki.go.jp/apca2/guidance_firefox.html
> のページで行うと比較的容易に行えますが、
> これもセキュリティ的には望ましくない(チェインから外れた)行いになります。
>
> 個人としての対処としては証明書取り込みで良いでしょうが、
> (信頼できる)ルート証明書はあらかじめ取り込んでおくのがセオリーだと思われます。
> 今回のフォーラムへの投稿はやり方の質問というよりも、
> Mozilla製品についてのバグ報告の側面の方が強いです。


私のスタンスは「事実をちゃんと整理提示したい」とゆ点にあります。

なんとなくですが
「 Mozilla側が対応しないと何も出来なくなる」的なニュアンスが強く感じられ
今回のケースだと
手動で対処する方式が公開されている事を知っておられた上での問題提起なのか
それとも手動取り込みの手がある事を知らずに要望を出されてるのか
そのあたりが投稿記事の表現では判断できなかったので
自分の勉強の面も含め「回避策」として手動取り込み検証し提示しました。

手動取り込み出来る事実がある事を整理実証した上で
別投稿の のらねこ さんの指摘も含め
「それは好ましい方法か?」の議論はあってしかるべきと私も思い
事実をベースに次のステップの議論へと続く事はウエルカムです。

とゆ事で
片峰建太郎 さんが Mozzilaに要望されたい内容そのものについて異を唱えるものではありません。
記事中では全く触れられてなかった他の手法がある点を事実として指摘しておきたかっただけです。


では。



.

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Safari)

> >>自己レスとなってしまいますが、これはおそらくWindowsでは発生しない問題なのではないかと思います。
> >>WindowsはおそらくMicrosoftが証明書を配布しているので、日本政府が配布した新しいルート証明書がFirefoxによって使用されているのだと思います。
>>
>>そんなことはありません。Windows の証明書ストアは参照していないので同じです。
>
> 情報ありがとうございます。しかしすると何故Windowsでは問題無いのでしょうね…。

いえ、ですから、同じように問題があります。ただ、それを問題と見ない人もいるということかと。

[メール転送/OFF] / [親58502] 返信

(環境: Other/DoCoMo)

#58502 の 片峰建太郎 さん(投稿:2015/04/12(Sun)18:19:09,環境:Linux/Safari)
maji です。


> >政府認証基盤(GPKI)の更改に伴い、平成26年1月6日(月)から、
(中略)
> この対象はe-Taxだけにとどまらず、
> e-gov.go.jpドメインのいくつかのサイトが、
> Firefox等でアクセスすると「接続の安全性を確認できません」となり
> (例外を認めない限り)アクセス出来ない状態になってしまっている様です。


別の観点から質問です。

> (例外を認めない限り)アクセス出来ない状態になってしまっている

これはつまり
例外を認めれば今でも e-Taxサイトにアクセス出来る
とゆ事でしょうか。

別投稿(→ #58511)ても記載しましたが
e-Tax推奨環境に Firefoxは入っておらず、
私自身も過去に e-Taxサイトに入れても正常な動作をしなかった経験あり、
実際に動くかどうかについては非常に気になります。


# サイトの公式な動作保証は無いが実際にはちゃんと動く
# とゆ事であればソレはそれで嬉しい情報です。


念の為に
上記についてお教えください。



では。



.

[メール転送/OFF] / [親58502] 返信

(環境: WinNT/Other)

> mozilla製品群に含まれる日本政府のルート証明書についてですが、
> 日本政府は政府認証基盤の更改を行っており、その結果http://www.e-tax.nta.go.jp/topics/topics_251206_rootca.htmによると
> >政府認証基盤(GPKI)の更改に伴い、平成26年1月6日(月)から、e-Taxで利用するルート証明書が、政府共用認証局(アプリケーション認証局)発行のものから政府共用認証局(アプリケーション認証局2)発行のもの(新ルート証明書)に変更になります。
> の様になっている様です。

これを読む限り、「政府認証基盤(GPKI)の更改」が今後アプリケーション認証局2に
なっていくのか、e-Tax だけなのか判然としませんね。
ただ、私が読んだ感じだとしばらくは両方が使われそうだということのように思われ
ます。

> これは不便ですし、自国の政府機関へのアクセスがデフォルトで入っているルート証明書で行えないのは外聞が悪いので、日本政府が発行しているルート証明書を取り込むようmozilla開発陣に要請していただけませんでしょうか?

https://bugzilla.mozilla.org/show_bug.cgi?id=870185 これですかね?

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

> > mozilla製品群に含まれる日本政府のルート証明書についてですが、
>>日本政府は政府認証基盤の更改を行っており、その結果http://www.e-tax.nta.go.jp/topics/topics_251206_rootca.htmによると
>>>政府認証基盤(GPKI)の更改に伴い、平成26年1月6日(月)から、e-Taxで利用するルート証明書が、政府共用認証局(アプリケーション認証局)発行のものから政府共用認証局(アプリケーション認証局2)発行のもの(新ルート証明書)に変更になります。
>>の様になっている様です。
>
> これを読む限り、「政府認証基盤(GPKI)の更改」が今後アプリケーション認証局2に
> なっていくのか、e-Tax だけなのか判然としませんね。
> ただ、私が読んだ感じだとしばらくは両方が使われそうだということのように思われ
> ます。

e-Taxだけでなくパブリックコメント投稿フォームでも使われている様です。
(mojiさんが例に出した
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&d=155150714&Mode=0
等)
他に該当するページを探してはいませんが、おそらく他にも使われているのではないかと思います。

> https://bugzilla.mozilla.org/show_bug.cgi?id=870185 これですかね?
みたいですね。ポインタありがとうございます。
しかし投稿されたファイル(pdf注意)
https://bugzilla.mozilla.org/attachment.cgi?id=8553784
を見るに問題無いような気がするのですが、何故取り込まれてないのでしょうね。
これが投稿された2015年1月から話が進んでいない様ですし。

もじら組から開発陣に取り込むよう促せばそれなりに重く受け止めてくれるかと思いますので、ここは一つよろしくお願いしたいところです。

[メール転送/OFF] / [親58502] 返信

(環境: WinNT/Other)

>>https://bugzilla.mozilla.org/show_bug.cgi?id=870185 これですかね?
> みたいですね。ポインタありがとうございます。
> しかし投稿されたファイル(pdf注意)
> https://bugzilla.mozilla.org/attachment.cgi?id=8553784
> を見るに問題無いような気がするのですが、何故取り込まれてないのでしょうね。
> これが投稿された2015年1月から話が進んでいない様ですし。

| Kathleen Wilson 2015-01-23 08:46:41 PST
| Please update this bug when you can provide a public-facing auditor's
| statement regarding the BR readiness assessment.

英語も強くないですし、証明書の取り込み家庭とかよくわからないのですが、
待ちになってるってことじゃないですか?

> もじら組から開発陣に取り込むよう促せばそれなりに重く受け止めてくれるかと思いますので、ここは一つよろしくお願いしたいところです。

も組ってそんな力はないのじゃないかなぁ。そういうのは MJ のほうがいいの
じゃないかな。ま、組員でもないので知りませんが。

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

GPKI の新証明書の取り込み遅れについては、Mozilla 開発者側からの問いかけに GPKI 側が最長で半年間無反応だったり、Mozilla のポリシーで必須とされている OCSP について「CRL で需要は満たせるからうちは OCSP 対応しないよ」とごねていたなど、Mozilla ではなく GPKI 側に原因のほぼすべてがあります。

> >>https://bugzilla.mozilla.org/show_bug.cgi?id=870185 これですかね?
>>みたいですね。ポインタありがとうございます。
>>しかし投稿されたファイル(pdf注意)
>>https://bugzilla.mozilla.org/attachment.cgi?id=8553784
>>を見るに問題無いような気がするのですが、何故取り込まれてないのでしょうね。
>>これが投稿された2015年1月から話が進んでいない様ですし。
>
> | Kathleen Wilson 2015-01-23 08:46:41 PST
> | Please update this bug when you can provide a public-facing auditor's
> | statement regarding the BR readiness assessment.
>
> 英語も強くないですし、証明書の取り込み家庭とかよくわからないのですが、
> 待ちになってるってことじゃないですか?

BR audit から GPKI に対して Public-facing BR Readiness Audit statement が出る(そしてそれが GPKI から Mozila に伝えられる)のを待っている状況です。
comment 28 では GPKI 側が
> We will take a readiness assessment of the BR audit this year, and we will take the BR audit next year.
と言っていますから、今年中に動きがあるかどうかといった感じでしょう。

>>もじら組から開発陣に取り込むよう促せばそれなりに重く受け止めてくれるかと思いますので、ここは一つよろしくお願いしたいところです。
>
> も組ってそんな力はないのじゃないかなぁ。そういうのは MJ のほうがいいの
> じゃないかな。ま、組員でもないので知りませんが。

も組はユーザコミュニティにすぎませんから、地方自治体や政府が絡んでくるときにはほとんど力はないと思います。
それ以前に、NSS の証明書ストアへのルート証明書の収録は Firefox など Mozilla ソフトウェアだけではなく NSS を利用している他の多くのソフトウェアのセキュリティにも直接的に大きな影響を与えるものですから、仮に力のある集団から横やりが入ったとしても Mozilla が自らのセキュリティポリシーを曲げることはないでしょう。

GPKI の旧証明書の収録の時には、Mozilla Japan がいろいろサポートしていたはずですが、それでもポリシーを満たして収録されるまで 1 年近くかかっています。

Bug 474706 - Add Japanese Government Application CA Root
https://bugzilla.mozilla.org/show_bug.cgi?id=474706

LGPKI ではほとんど応答がなく、今でも収録されていません。

Bug 477314 - Add Japanese Local Government Application CA G2 Root
https://bugzilla.mozilla.org/show_bug.cgi?id=477314

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

丁寧なレスポンスありがとうございます。状況が把握出来ました。

> GPKI の新証明書の取り込み遅れについては、Mozilla 開発者側からの問いかけに GPKI 側が最長で半年間無反応だったり、Mozilla のポリシーで必須とされている OCSP について「CRL で需要は満たせるからうちは OCSP 対応しないよ」とごねていたなど、Mozilla ではなく GPKI 側に原因のほぼすべてがあります。

再度bugzillaを読みましたところ、その様であると了解しました。

> BR audit から GPKI に対して Public-facing BR Readiness Audit statement が出る(そしてそれが GPKI から Mozila に伝えられる)のを待っている状況です。
> comment 28 では GPKI 側が
>>We will take a readiness assessment of the BR audit this year, and we will take the BR audit next year.
> と言っていますから、今年中に動きがあるかどうかといった感じでしょう。

監査法人の監査が行われ次第…といった状況と推測します。
すぐの解決は無理そうですね。

> も組はユーザコミュニティにすぎませんから、地方自治体や政府が絡んでくるときにはほとんど力はないと思います。
> それ以前に、NSS の証明書ストアへのルート証明書の収録は Firefox など Mozilla ソフトウェアだけではなく NSS を利用している他の多くのソフトウェアのセキュリティにも直接的に大きな影響を与えるものですから、仮に力のある集団から横やりが入ったとしても Mozilla が自らのセキュリティポリシーを曲げることはないでしょう。

了解です。

> GPKI の旧証明書の収録の時には、Mozilla Japan がいろいろサポートしていたはずですが、それでもポリシーを満たして収録されるまで 1 年近くかかっています。
>
> Bug 474706 - Add Japanese Government Application CA Root
> https://bugzilla.mozilla.org/show_bug.cgi?id=474706
>
> LGPKI ではほとんど応答がなく、今でも収録されていません。
>
> Bug 477314 - Add Japanese Local Government Application CA G2 Root
> https://bugzilla.mozilla.org/show_bug.cgi?id=477314

ポインタありがとうございます。参考になりました。

[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

状況が分かりましたので解決済みとさせていただきます。
どうもありがとうございました。
済!
[メール転送/OFF] / [親58502] 返信

(環境: Linux/Other)

解決後の投稿になりますが、動きがあった様ですのでこの場に書かせていただきます。

Add Renewed Japanese Government Application CA Root certificate
https://bugzilla.mozilla.org/show_bug.cgi?id=870185
に2015/4/28に以下の投稿がなされました。
> Comment 31 apca 2015-04-28 02:13:04 PDT
> We will submit readiness assessment report of the BR audit in September.

という事で、9月頃に動きがありそうです。

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

組員 (笑)

[メール転送/OFF] / [親58502] 返信

(環境: Win 7/Other)

> もじら組から開発陣に取り込むよう促せばそれなりに重く受け止めてくれるかと思いますので、ここは一つよろしくお願いしたいところです。

サイトトップページにありますとおり、
「もじら組とは、日本で一番古いMozillaユーザーコミュニティ」
ですので、それほどの力は・・・

Mozilla Japanのコミュニティからリンクされているフィードバックで報告なさってみては?
http://www.mozilla.jp/

[メール転送/OFF] / [親58502] 返信

(環境: WinVista/Other)

もじら組は飽く迄「ユーザーコミュニティ」ですからね。
問題が在ればフィードバックかバグ報告なりで解決方法の模索をするのが確実。

[メール転送/OFF] / [親58502] 返信

(環境: WinNT/Other)

(#58518)の 片峰建太郎 さん(投稿:2015/04/14(Tue)12:13:40,環境:Linux/Other)
maji です。



> e-Taxだけでなくパブリックコメント投稿フォームでも使われている様です。
> (mojiさんが例に出した
> http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&d=155150714&Mode=0
> 等)
> 他に該当するページを探してはいませんが、おそらく他にも使われているのではないかと思います。


今回テストしたパブリックコメント投稿フォームは
e-Gov (イーガブ) http://www.e-gov.go.jp/
の中の機能なので
今のところ e-Tax と e-Gov の二つのサイトで使われてるみたいですね。


e-Gov の場合だと

サーバ証明書の変更のお知らせ|電子政府の総合窓口e-Gov イーガブ
http://www.e-gov.go.jp/news/egov/2014/news20140929-2.html

に記載がありますが
サイト内の

》 ・政策に関する意見・要望
》 ・パブリックコメント
》 ・政府認証基盤(GPKI)のフィンガープリントなどに関する情報
》 ・お問合せフォームを利用した問合せ

で使われてる事が明記されてるとともに

アプリケーション認証局2
http://www.gpki.go.jp/apca2/index.html

にて IEの
Firefox や MacOS/Android の場合の手順がガイドされています。
まぁ「安全性の面での不安」はありますが
手動での取り込みはテストし OKでした。

e-Tax の場合だと

平成26年1月6日以降、e-Taxを利用する場合は、新たなルート証明書の追加インストールが必要です|e-Tax
http://www.e-tax.nta.go.jp/topics/topics_251206_rootca.htm

に説明があります。
最終的には

政府認証基盤(GPKI)のホームページ
http://www.gpki.go.jp/

に飛び手動でのインストールが可能となってるのですが、
e-Gov と違うところは
「ルート証明書・中間証明書のインストーラ」を含めて様々な手順が利用パターン別に用意されてる点。
ただしこれらのどこまでが Firefoxに対応してるかはページ紙面上からは読み取れません。

投稿主の 片峰建太郎 さんが既に「済」とされてるので
URLリンク紹介だけに留めます。



-----



片峰建太郎 さんの投稿趣旨とは違いますが私が問題だと思ったのは
認証証明書の問題ではなく Firefox動作可否の点。

e-Tax も e-Gov も両方とも Firefox は動作保障対象外なのですが、、、、。。。

e-Gov の方は
公式に対象に入れてないだけで「やってみたら動く」ような気がします。
気がするだけで特に根拠は無いですが
今回テストしたパブリックコメントのページも
手動で証明書クリアしたら投稿フォームまでは進めました。

ところが e-Tax の方は
今回テストした dbx さん紹介のページだと
手動で証明書クリアした後に次へ進もうとすると

》環境チェック結果
》「×推奨環境外です。」

てな表記が出てきました。
これは e-Taxページ側で出してるもので
「やってみたら動く」淡い期待は吹っ飛び
どうも「動作保障対象以外は積極的に排除する」運用してる様に思います。

このあたりは Mozilla側の問題ではないので
サイト運営側に「動作保障してくれ〜」と要請するしかないのですが、
こちらの方が問題だと私は思います。
とりあえず
e-Tax での確定申告については IE 使って処理しています。



-----



私からは以上、です。




.

[メール転送/OFF] / [親58502] 返信
- Child Tree -