スレッド内全 33 返信中 25 〜 29 件目を表示
このスレッドのページ : [0] [1] [2] [3] [4] [5] [6]

(環境: Other/DoCoMo)

(#58521)の 片峰建太郎 さん(投稿:2015/04/15(Wed)00:19:09,環境:Linux/Other)
maji です。


> majiさん、どうもありがとうございます。
> 証明書を取り込めば問題なくアクセス出来ますが、これはあまりよろしくない状況であるのではないかと思います。
> またブラウザ利用者にその作業を強いるのは負担が大きいかと。
>
> http://www.gpki.go.jp/apca2/guidance_firefox.html
> のページで行うと比較的容易に行えますが、
> これもセキュリティ的には望ましくない(チェインから外れた)行いになります。
>
> 個人としての対処としては証明書取り込みで良いでしょうが、
> (信頼できる)ルート証明書はあらかじめ取り込んでおくのがセオリーだと思われます。
> 今回のフォーラムへの投稿はやり方の質問というよりも、
> Mozilla製品についてのバグ報告の側面の方が強いです。


私のスタンスは「事実をちゃんと整理提示したい」とゆ点にあります。

なんとなくですが
「 Mozilla側が対応しないと何も出来なくなる」的なニュアンスが強く感じられ
今回のケースだと
手動で対処する方式が公開されている事を知っておられた上での問題提起なのか
それとも手動取り込みの手がある事を知らずに要望を出されてるのか
そのあたりが投稿記事の表現では判断できなかったので
自分の勉強の面も含め「回避策」として手動取り込み検証し提示しました。

手動取り込み出来る事実がある事を整理実証した上で
別投稿の のらねこ さんの指摘も含め
「それは好ましい方法か?」の議論はあってしかるべきと私も思い
事実をベースに次のステップの議論へと続く事はウエルカムです。

とゆ事で
片峰建太郎 さんが Mozzilaに要望されたい内容そのものについて異を唱えるものではありません。
記事中では全く触れられてなかった他の手法がある点を事実として指摘しておきたかっただけです。


では。



.

[メール転送/OFF] / 引用返信 チェック-
(環境: Other/DoCoMo)

(#58522)の のらねこ さん(投稿:2015/04/15(Wed)01:43:43,環境:WinNT/Other)
maji です。


>> ※Firefoxをご使用で「接続の安全性を確認できません」が表示される方はこちら
>>http://www.gpki.go.jp/apca2/guidance_firefox.html
>>に記された手順にて
>>・アプリケーション認証局2(Root)の自己署名証明書
>>をインストールしました。
>
> インストールした証明書が改ざんされていないと断言できますか?
>
>>その上で上述の二つの例ページへ飛ぶと
>>セキュリティ証明関連のエラーは出ずに次のステップへ進めました。
> エラーが出ずに SSL で保護されたページが表示できますが、そこに書かれた内容を
> 信頼できると判断できますか?
>
> フィンガープリントで確認するように書かれていますが、フィンガープリントは
> 改ざんされている *かも* しれない証明書で守られたものです。フィンガー
> プリントの値は信頼できますか?
>
> とまぁ、そういう話かと。


まぁ、私も「そういう話」かとは思うのですが、
とは言いつつも
今回のパブリックコメントのページのある
電子政府のサイト e-Gov ( http://www.e-gov.go.jp/ )では
以下のお知らせ

サーバ証明書の変更のお知らせ
http://www.e-gov.go.jp/news/egov/2014/news20140929-2.html

にある通り
今回の手動による手順を公認しきっちゃってますね〜。

これはコレで
私も いかがなものか とは思います。


では。



.

[メール転送/OFF] / 引用返信 チェック-
(環境: WinNT/Other)

> サーバ証明書の変更のお知らせ
> http://www.e-gov.go.jp/news/egov/2014/news20140929-2.html
> にある通り
> 今回の手動による手順を公認しきっちゃってますね〜。

複数のサーバが改ざんされることなんてない!と考えるなら、サイトに提示されて
いる方法でOKです。

> これはコレで
> 私も いかがなものか とは思います。

ですよね〜。

www2.gpki.go.jp にフィンガープリント、www.gpki.go.jp に証明書とで複数の
サーバが改ざんされない限りは大丈夫!としているようですが、IP が1つ違いで
管理上も設置場所もほとんど同じになっていそうなところが怖いです(笑

管理上近いということは「ごっそり」やられるということもありうるかなと。
そう考えたとき、この手順は安全ではないといえます。安全と思われる方法と
しては安全な経路でフィンガープリントを入手して比較できればいいので、
Windows 上で IE を使いフィンガープリントを表示して確認とかになるかと
思います。
Linux の場合、安全なルートで取得したもの(たとえばIEで表示印刷する)を
搬送してそれを使って確認するということになりそうです。


こんなことを考えなきゃいけないことが面倒です(笑


みんなに安全に使ってもらうためには?ということで片峰さんのポストになったの
かな、と思いました。

# Windows Update での配信は一応セキュアなはずなので、MS が入手した証明書が
# 間違っていない限り、信頼できる証明書と言えるはずです。
# Windows に入っている証明書を信頼できない!とすると、Windows を使っている
# 限り安全ではないということになりますので、そこまで言う人は総務省に直接
# 出向くとかしないとダメですね。
## あと、この辺は私のつたない知識と個人的な意見によるものなので、間違って
## いるかもしれません。間違い勘違いがあったら教えてくださいね。

[メール転送/OFF] / 引用返信 チェック-
(環境: WinVista/Other)

もじら組は飽く迄「ユーザーコミュニティ」ですからね。
問題が在ればフィードバックかバグ報告なりで解決方法の模索をするのが確実。

[メール転送/OFF] / 引用返信 チェック-
(環境: Linux/Other)

丁寧なレスポンスありがとうございます。状況が把握出来ました。

> GPKI の新証明書の取り込み遅れについては、Mozilla 開発者側からの問いかけに GPKI 側が最長で半年間無反応だったり、Mozilla のポリシーで必須とされている OCSP について「CRL で需要は満たせるからうちは OCSP 対応しないよ」とごねていたなど、Mozilla ではなく GPKI 側に原因のほぼすべてがあります。

再度bugzillaを読みましたところ、その様であると了解しました。

> BR audit から GPKI に対して Public-facing BR Readiness Audit statement が出る(そしてそれが GPKI から Mozila に伝えられる)のを待っている状況です。
> comment 28 では GPKI 側が
>>We will take a readiness assessment of the BR audit this year, and we will take the BR audit next year.
> と言っていますから、今年中に動きがあるかどうかといった感じでしょう。

監査法人の監査が行われ次第…といった状況と推測します。
すぐの解決は無理そうですね。

> も組はユーザコミュニティにすぎませんから、地方自治体や政府が絡んでくるときにはほとんど力はないと思います。
> それ以前に、NSS の証明書ストアへのルート証明書の収録は Firefox など Mozilla ソフトウェアだけではなく NSS を利用している他の多くのソフトウェアのセキュリティにも直接的に大きな影響を与えるものですから、仮に力のある集団から横やりが入ったとしても Mozilla が自らのセキュリティポリシーを曲げることはないでしょう。

了解です。

> GPKI の旧証明書の収録の時には、Mozilla Japan がいろいろサポートしていたはずですが、それでもポリシーを満たして収録されるまで 1 年近くかかっています。
>
> Bug 474706 - Add Japanese Government Application CA Root
> https://bugzilla.mozilla.org/show_bug.cgi?id=474706
>
> LGPKI ではほとんど応答がなく、今でも収録されていません。
>
> Bug 477314 - Add Japanese Local Government Application CA G2 Root
> https://bugzilla.mozilla.org/show_bug.cgi?id=477314

ポインタありがとうございます。参考になりました。

[メール転送/OFF] / 引用返信 チェック-
[ All このスレッドをツリーで一括表示 ]
[ 前の返信5件 ] | [ 次の返信5件 ]
このスレッドのページ : [0] [1] [2] [3] [4] [5] [6]

このスレッドに書きこむ

お名前
E メール
* 関連する返信記事をメールで受信しますか? * アドレスの表示
環境 OS ブラウザ MUA
タイトル
URL
コメント 自動改行 手動改行(等幅フォント)
自動リンク MozillaZine-jp / Bugzilla-jp / bmo (bugzilla.mozilla.org) (クリックで挿入)
スマイリー Very_Happy Smile Sad Embarassed Surprised Shocked Confused Cool Laughing Mad Razz Crying_or_Very_sad Evil_or_Very_Mad Twisted_Evil Rolling_Eyes Wink Exclamation Question Idea Arrow Neutral Mr.Green
CCBot/2.0 (https://commoncrawl.org/faq/)
記事内容
記事ソート
プレビュー 左のチェックボックスをチェックすると、投稿前にプレビューができます
済! 問題が解決したらチェックしてください
captcha input string in image
上の画像認証の画像に表示されている文字 (2-8の数字もしくはzを除く英小文字) を入力してください。
読み込み後、一度もしくは60分間しか有効ではありません。

- Child Tree -