パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦」記事へのコメント

  • Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。

    しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。

    どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした

    • by Anonymous Coward

      ブラウザベンダーであり、自身もルート認証局を持っている Google が、信頼する認証局を判断する全権を握る「神」に近い存在になったのは、恐ろしすぎます。

      ブラウザベンダーってのは元々そういう「神」に近い存在でしょう。
      やなら別のを使えばいいわけだし、いまさらですよ。

      というか、認証局名を見るってのは何が目的なんでしょう。認証局名から何かを判断出来るのは業界人とかで、一般ユーザが判断出来るようなものじゃないでしょう。
      必要なのは信頼できるかであって名前ではないですよ。

      あと、認証局の有効無効を変えるのはまた別のUIですし、そこに変更はないんでは?

      • というか、認証局名を見るってのは何が目的なんでしょう。認証局名から何かを判断出来るのは業界人とかで、一般ユーザが判断出来るようなものじゃないでしょう。
        必要なのは信頼できるかであって名前ではないですよ。

        一般に、信頼できるかの判断は、名前(ブランド)で行うものだと思うし、「名前」で判断するのは現実解として適切だと思います。

        例えば、「G-SHOCK」の時計は丈夫さ・防水性の観点で信頼できるとか、「SanDisk」のSDカードは品質が優れているとかそういう判断をしている人が多いわけで、劣悪な製品を作ればそのブランド価値が損なわれることになるので、企業はブランド価値を高めるために品質の向上に努める訳です。

        認証局も「SECOM」

        • by Anonymous Coward

          そんなしち面倒くさい方法に頼るのは設計として間違ってると思うし、半分以上認証局からずれた話ですね。
          で、

          認証局も「SECOM」とか「Symantec」といったブランドがあるわけで、そのブランドで信頼性を判断するのは当然のことです。

          そこにくるのはGoogleとかAppleとかじゃないんですかね。
          PKIでいえばSECOMとかSymantecとかはサプライヤー的な、業界人にとってのブランドで、一般ユーザが気にしても良いけど、表にでるブランドではと思いますが。

          しかし、証明書を削除したり無効にしたりしても(削除だと勝手に復活することが多いので無効の方が良いです)、アップデートで強制的に同じ会社の新し

          • >そこにくるのはGoogleとかAppleとかじゃないんですかね。

            完全に間違っている。
            GoogleやAppleを信頼することと、貴方が見ているWebサイトがそれらによって提供されているかは別の話だ。
            ルート認証局や証明書が適切に構成されていることを確認して初めて、Webサイトがどの組織によってホストされているかがわかる。
            ブラウザは、システムの証明書ストアに登録されたルート認証局に基づいて、Webサイトの証明書が正しく構成されていることを確認しているだけだ。
            認証局の信頼性を判断できるのは最終的には利用者だけだ。少なくともGoogleではない。
            (Appleは、OSベンダとしてルート証明書を選択しているので、ある程度は関与している)

            >一般ユーザに知識やノウハウを求めるのは悪手だし、いちいち瑣末な問題をあげつらうのは、問題の本質に対する目くらましでしかありませんよ。

            ルート認証局を確認するのは些細な問題ではない。
            そもそも、今まさにSymanticという認証局の信頼性が問われているときに何を言っているのか。

            あなたのコメントは、一般市民の知性や、専門家の役割をあまりに軽視していて頭がクラクラする。まるでディストピアの世界観だ。
            誰もがWebセキュリティのグルであることはできないが、例えば認証局がSymanticどうかを確認することは一般利用者だってできるし、そうすべきだ。
            必要なら専門家の助言を借りることだってできるし、そのためにも必要な情報が提供されることは必要だ。

            Chromeは単なるブラウザアプリに過ぎず、ルート認証局の信頼性を評価するような立場にはない。
            また、元コメで指摘されているように、Google自身がルート認証局であり、いわばSymanticのビジネス上のライバルだ。
            そんな会社を盲信するのは馬鹿のすることだ。
            明らかにGoogleは自社を特別な存在だと一般消費者に信じ込ませようとしているが、そういう態度自体に疑いを持つべきだ。
            我々利用者自身で認証チェーンの信頼性を判断しなければならないし、そのためにChromeのUIが適切でないことは明確だ。

            親コメント
            • とはいえ、本来信頼できるとして認定を通ったroot証明が同梱されるわけで、ルートまで全部チェックせなあかんのはどうなんだろう、とうのもわからないではない

              今回のこれはどうする、とかUIとして容易であったほうがよい、はまた別として論議かなあ

              #(中間認証局を経由して)ルート認証局までのチェーンで問題があるなら、エラー表示するのが良いブラウザUIだという認識が共有されつつあると思うんだけど
              # EVの名前くらいはともかく、ルートまでチェックしろ、は良いプラクティスとはいえないとも思う...

              --
              M-FalconSky (暑いか寒い)
              親コメント
            • by Anonymous Coward

              お題目は立派だけどね。
              あなたが言ってるのは理想論で現実的じゃない。
              エンドユーザーの大半は認証局や証明書なんて理解できないし、適当に許可するよ。

              そう、あなたが他人を馬鹿呼ばわりするように、世の中には馬鹿が多いんです。
              お利口さんなあなたには分からないんだろうけど。

            • by Anonymous Coward

              優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、
              「証明書の確認が面倒なChromeのUIは良いものではない」ってのは、おそらくこのツリーに書いている人の誰も反対していないと思いますが。

              > (Appleは、OSベンダとしてルート証明書を選択しているので、ある程度は関与している)

              元コメの「GoogleとかAppleとか」の例は色々解釈できそうなので、何を言いたいのか私はよく理解できてないですが、
              あなたの解釈でいえば、Androidを提供しているGoogleだってAppleと同じでは。

              > また、元コメで指摘されているように、Google自身がルート認証局であり、いわばSymanticのビジネス上のライバルだ。

              パブリック認証局とプライベート認証局の区別が付かない人ですか?
              Googleは自社と親会社以外に証明書を発行しておらず、この分野でのビジネス上のライバルなんかではないですよ。

              • by Anonymous Coward

                > 優先順位として、証明書の確認方法についてのブラウザ実装より、ユーザに見えないところでルート証明書の勝手更新等される方が問題といっているだけで、

                書いてから思ったのだが、勝手更新の何が悪いかというと、認証局が適当にEE証明書を発行してるからチェーンするルート証明書を
                入れたくないというわけで、元の「信頼性回復に関する議論」に帰結するのだな。
                # 永久ループ入った。

                個々のユーザの立場で言えば、多くの認証局が正しい業務フローで証明書発行しているかなんて確認するのは現実的ではないわけで、
                勝手に多く入れられるよりは、ルート証明書はあらかじめ最小限でインポートしておいて、新しいのが必要になる場合にユーザ同意の上で
                インポートするUIでいいのに、なんでバックグラウンドでインポートしちゃうんだろうな。

                それともグループポリシー等でそういう設定に変更できたりするんですかね。

            • by Anonymous Coward

              オレオレ証明書みたいに、ページを開くたびに認証局の確認ダイアログが出るぐらいにしないと、まず確認なんてしないだろうけど、そんなUIは地獄だな。

              • by Anonymous Coward

                オレオレ証明書みたいに、ページを開くたびに認証局の確認ダイアログが出るぐらいにしないと、まず確認なんてしないだろうけど、そんなUIは地獄だな。

                IEはEV SSLだとアドレスバーに認証局と組織名が交互表示されるので、ゼロクリック&手間いらずで目視確認できる
                IE最強がまた証明されたな

アレゲは一日にしてならず -- アレゲ見習い

処理中...