パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦」記事へのコメント

  • Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。

    しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。

    どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした

    • by Anonymous Coward

      Chromeのルート認証局ってChromeが自分で持ってるんじゃなくて、Windowsの証明書ストア使ってるんじゃないの?
      Chromeの設定で「証明書の管理」ボタン押して出てくるやつってOS共通のやつでしょ。

      だからサイトの証明書の判定はシステム的にOSに任されているわけで、ブラウザはユーザーに目的のサイトが正当な認証のツリーに属しているかどうかさえ伝えられればよい。
      むしろ不適切なルート証明書がOSにインストールされていてもChromeはそれに関与せず、どの認証局を信頼するかの決定権は放棄しているように見える。

      認証局の追跡が開発者レベルの機能ってのは全然問題ないと思うんだけど。
      ユーザーがそういうのを一々確認しなくて済むように予め信頼する事にしたルート証明書を登録してるんだから。
      「アクセスしたサイトの認証局を目視で確認して不可と判断する」ユースケースの想定自体がそもそもおかしくね?

      • Chromeのルート認証局ってChromeが自分で持ってるんじゃなくて、Windowsの証明書ストア使ってるんじゃないの?

        #3205689 でも書きましたが、これはその通りです。

        むしろ不適切なルート証明書がOSにインストールされていてもChromeはそれに関与せず、どの認証局を信頼するかの決定権は放棄しているように見える。

        Google Chrome はOSの証明書ストアで信頼されていたとしても StartSSL の証明書を独自実装で拒否している [qiita.com] ので、どの認証局を信頼するかの決定権は放棄していません。

        同じOSの証明書ストアを使っていても、IEでは受け付けるけどChromeでは拒否されるというケースがあります。

        • by Anonymous Coward

          Googleの認識は「OV証明書はゴミ。信頼性においてDV証明書と変わらん。表示を変えてDV証明書より安全だと誤認される方が有害。見るからに安全っぽい表示をして欲しければEV証明書を使え」なんじゃないかな。
          実際その認識は間違ってないと思う。
          まあ一部のアホ認証局のせいでEV証明書の信頼性まで毀損されつつある今日この頃ではあるけど。

          • by Anonymous Coward

            おっさんが昔話をするとだな、むかしは全証明書がOVだったんだよ
            だからSSL=安全が成立した
            自動化して手間いらずで金儲けをしたい銭ゲハCAがDVなんてゴミ証明書を発行しだしてから世の中おかしくなった
            一番の戦犯はシ○ンテックじゃなくて最初にDV発行した某社だろw

            信頼性は DV<<<<<<<<<<<<<<超えられない壁<<<<<<<<OV<EV ぐらいだろ

            実務レベルだとOVとEVのチェック事項そんなに変わらない
            費用もEVも安いとこだと3万ぐらいで買えるしOVとそんなに違いはない

            • by Anonymous Coward

              昔:認証局はベリサインが独占! 今のEV相当の厳重審査! 鍵マークがあれば安全
              今:Let's Encryptで誰でもSSL(笑) 認証局名までチェックしないと安全か分からない

              一逸人以外は鍵マークチェックまでが限度だからはよ昔に戻せ
              認証局をオープンにして百個以上OSにルート証明書ぶち込まれてたらもはや安全性なんて保てんわw

              • by Anonymous Coward on 2017年05月06日 18時24分 (#3205982)

                証明書の発行を数社に独占させる方がよかったと?

                親コメント
              • by Anonymous Coward

                証明書の発行を数社に独占させる方がよかったと?

                CAは理論上不正な証明書発行し放題なんだよ? 数社独占の方が安全に決まってるじゃん

                rootのパスワードを数人で共有しているサーバーと、rootのパスワードを100人に教えているサーバーのどっちが安全か考えたら分かり切ったこと

                1社だと競争原理が働かなくてまずいけど、数社ありゃ自由競争原理が生まれる。数社の寡占状態の業界なんて山ほどあるけど十分に競争原理が働いてるだろ

                ベリサイン独占だった時代も数万円払えば証明書は買えた訳で、フィッシング詐欺が蔓延するより社会的コストは少ないわ

              • by Anonymous Coward

                CAの秘密鍵は数社で共有されてるわけじゃないんだからそのたとえはおかしいし

              • by Anonymous Coward

                CAの秘密鍵は数社で共有されてるわけじゃないんだからそのたとえはおかしいし

                どのCAも www.microsoft.com とかの有効な証明書を発行して偽サイトを本物にする権限を持ってるし、コードサイニングだったらソフトの自動アップデートを騙して任意のアプリ実行できるだろ
                だからroot権限を握っているようなもんだ

                比喩なんだから厳密には違う点があるのはやむを得ないので、秘密鍵が共有されていないとか些細な点に突っ込むのは揚げ足取りという
                ああ、じゃあrootと同様の行為が行えるsudoコマンドの実行権限を持つユーザーの人数が少ない方が安全と言えば良いか?

              • by Anonymous Coward

                今まさに独占企業が派手にやらかしてるのに影響が大きすぎて極刑に処せないという状況に直面してるんだけどアホか?
                最大シェアのCAがたかだか数%くらいのレベルまで分散してるなら今頃WoSignもSymantecは業界から追放されて丸く収まってる。

              • by Anonymous Coward

                今まさに独占企業が派手にやらかしてるのに影響が大きすぎて極刑に処せないという状況に直面してるんだけどアホか?
                最大シェアのCAがたかだか数%くらいのレベルまで分散してるなら今頃WoSignもSymantecは業界から追放されて丸く収まってる。

                確かにその通りやな

物事のやり方は一つではない -- Perlな人

処理中...