アカウント名:
パスワード:
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。
しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。
どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした
ブラウザベンダーであり、自身もルート認証局を持っている Google が、信頼する認証局を判断する全権を握る「神」に近い存在になったのは、恐ろしすぎます。
ブラウザベンダーってのは元々そういう「神」に近い存在でしょう。やなら別のを使えばいいわけだし、いまさらですよ。
というか、認証局名を見るってのは何が目的なんでしょう。認証局名から何かを判断出来るのは業界人とかで、一般ユーザが判断出来るようなものじゃないでしょう。必要なのは信頼できるかであって名前ではないですよ。
あと、認証局の有効無効を変えるのはまた別のUIですし、そこに変更はないんでは?
というか、認証局名を見るってのは何が目的なんでしょう。認証局名から何かを判断出来るのは業界人とかで、一般ユーザが判断出来るようなものじゃないでしょう。 必要なのは信頼できるかであって名前ではないですよ。
一般に、信頼できるかの判断は、名前(ブランド)で行うものだと思うし、「名前」で判断するのは現実解として適切だと思います。
例えば、「G-SHOCK」の時計は丈夫さ・防水性の観点で信頼できるとか、「SanDisk」のSDカードは品質が優れているとかそういう判断をしている人が多いわけで、劣悪な製品を作ればそのブランド価値が損なわれることになるので、企業はブランド価値を高めるために品質の向上に努める訳です。
認証局も「SECOM」
そんなしち面倒くさい方法に頼るのは設計として間違ってると思うし、半分以上認証局からずれた話ですね。で、
認証局も「SECOM」とか「Symantec」といったブランドがあるわけで、そのブランドで信頼性を判断するのは当然のことです。
そこにくるのはGoogleとかAppleとかじゃないんですかね。PKIでいえばSECOMとかSymantecとかはサプライヤー的な、業界人にとってのブランドで、一般ユーザが気にしても良いけど、表にでるブランドではと思いますが。
しかし、証明書を削除したり無効にしたりしても(削除だと勝手に復活することが多いので無効の方が良いです)、アップデートで強制的に同じ会社の新し
>そこにくるのはGoogleとかAppleとかじゃないんですかね。
完全に間違っている。GoogleやAppleを信頼することと、貴方が見ているWebサイトがそれらによって提供されているかは別の話だ。ルート認証局や証明書が適切に構成されていることを確認して初めて、Webサイトがどの組織によってホストされているかがわかる。ブラウザは、システムの証明書ストアに登録されたルート認証局に基づいて、Webサイトの証明書が正しく構成されていることを確認しているだけだ。認証局の信頼性を判断できるのは最終的には利用者だけだ。少なくともGoogleではない。(Appleは、OSベンダとしてル
優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、「証明書の確認が面倒なChromeのUIは良いものではない」ってのは、おそらくこのツリーに書いている人の誰も反対していないと思いますが。
> (Appleは、OSベンダとしてルート証明書を選択しているので、ある程度は関与している)
元コメの「GoogleとかAppleとか」の例は色々解釈できそうなので、何を言いたいのか私はよく理解できてないですが、あなたの解釈でいえば、Androidを提供しているGoogleだってAppleと同じでは。
> また、元コメで指摘されているように、Google自身がルート認証局であり、いわばSymanticのビジネス上のライバルだ。
パブリック認証局とプライベート認証局の区別が付かない人ですか?Googleは自社と親会社以外に証明書を発行しておらず、この分野でのビジネス上のライバルなんかではないですよ。
> 優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、
書いてから思ったのだが、勝手更新の何が悪いかというと、認証局が適当にEE証明書を発行してるからチェーンするルート証明書を入れたくないというわけで、元の「信頼性回復に関する議論」に帰結するのだな。# 永久ループ入った。
個々のユーザの立場で言えば、多くの認証局が正しい業務フローで証明書発行しているかなんて確認するのは現実的ではないわけで、勝手に多く入れられるよりは、ルート証明書はあらかじめ最小限でインポートしておいて、新しいのが必要になる場合にユーザ同意の上でインポートするUIでいいのに、なんでバックグラウンドでインポートしちゃうんだろうな。
それともグループポリシー等でそういう設定に変更できたりするんですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
なぜ、Google はユーザーが「認証局名」を確認する手段を奪ったのか? (スコア:5, 参考になる)
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。
しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。
どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした
Re: (スコア:1)
ブラウザベンダーであり、自身もルート認証局を持っている Google が、信頼する認証局を判断する全権を握る「神」に近い存在になったのは、恐ろしすぎます。
ブラウザベンダーってのは元々そういう「神」に近い存在でしょう。
やなら別のを使えばいいわけだし、いまさらですよ。
というか、認証局名を見るってのは何が目的なんでしょう。認証局名から何かを判断出来るのは業界人とかで、一般ユーザが判断出来るようなものじゃないでしょう。
必要なのは信頼できるかであって名前ではないですよ。
あと、認証局の有効無効を変えるのはまた別のUIですし、そこに変更はないんでは?
フィッシング詐欺に騙されないためには、ユーザーが証明書を確認する必要がある (スコア:1, オフトピック)
一般に、信頼できるかの判断は、名前(ブランド)で行うものだと思うし、「名前」で判断するのは現実解として適切だと思います。
例えば、「G-SHOCK」の時計は丈夫さ・防水性の観点で信頼できるとか、「SanDisk」のSDカードは品質が優れているとかそういう判断をしている人が多いわけで、劣悪な製品を作ればそのブランド価値が損なわれることになるので、企業はブランド価値を高めるために品質の向上に努める訳です。
認証局も「SECOM」
Re: (スコア:1)
そんなしち面倒くさい方法に頼るのは設計として間違ってると思うし、半分以上認証局からずれた話ですね。
で、
認証局も「SECOM」とか「Symantec」といったブランドがあるわけで、そのブランドで信頼性を判断するのは当然のことです。
そこにくるのはGoogleとかAppleとかじゃないんですかね。
PKIでいえばSECOMとかSymantecとかはサプライヤー的な、業界人にとってのブランドで、一般ユーザが気にしても良いけど、表にでるブランドではと思いますが。
しかし、証明書を削除したり無効にしたりしても(削除だと勝手に復活することが多いので無効の方が良いです)、アップデートで強制的に同じ会社の新し
Re: (スコア:1)
>そこにくるのはGoogleとかAppleとかじゃないんですかね。
完全に間違っている。
GoogleやAppleを信頼することと、貴方が見ているWebサイトがそれらによって提供されているかは別の話だ。
ルート認証局や証明書が適切に構成されていることを確認して初めて、Webサイトがどの組織によってホストされているかがわかる。
ブラウザは、システムの証明書ストアに登録されたルート認証局に基づいて、Webサイトの証明書が正しく構成されていることを確認しているだけだ。
認証局の信頼性を判断できるのは最終的には利用者だけだ。少なくともGoogleではない。
(Appleは、OSベンダとしてル
Re: (スコア:0)
優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、
「証明書の確認が面倒なChromeのUIは良いものではない」ってのは、おそらくこのツリーに書いている人の誰も反対していないと思いますが。
> (Appleは、OSベンダとしてルート証明書を選択しているので、ある程度は関与している)
元コメの「GoogleとかAppleとか」の例は色々解釈できそうなので、何を言いたいのか私はよく理解できてないですが、
あなたの解釈でいえば、Androidを提供しているGoogleだってAppleと同じでは。
> また、元コメで指摘されているように、Google自身がルート認証局であり、いわばSymanticのビジネス上のライバルだ。
パブリック認証局とプライベート認証局の区別が付かない人ですか?
Googleは自社と親会社以外に証明書を発行しておらず、この分野でのビジネス上のライバルなんかではないですよ。
Re:フィッシング詐欺に騙されないためには、ユーザーが証明書を確認する必要がある (スコア:0)
> 優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、
書いてから思ったのだが、勝手更新の何が悪いかというと、認証局が適当にEE証明書を発行してるからチェーンするルート証明書を
入れたくないというわけで、元の「信頼性回復に関する議論」に帰結するのだな。
# 永久ループ入った。
個々のユーザの立場で言えば、多くの認証局が正しい業務フローで証明書発行しているかなんて確認するのは現実的ではないわけで、
勝手に多く入れられるよりは、ルート証明書はあらかじめ最小限でインポートしておいて、新しいのが必要になる場合にユーザ同意の上で
インポートするUIでいいのに、なんでバックグラウンドでインポートしちゃうんだろうな。
それともグループポリシー等でそういう設定に変更できたりするんですかね。