アカウント名:
パスワード:
世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてる https://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org] けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!正しいやり方をしようとしない日本の政府機関が悪い!!!
そう突っ張るのは自由ですよ。ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。
でも困るのってユーザじゃないの?例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているの
そうは言うがな、大佐。GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。
少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?
Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。
日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。
#そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが#本質はそこじゃないのでスルーする
>Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、
Mozillaはそんなこと言っていないだろ。もっと基本的な、"CA運用側"が問題を認識したら速やかに解消するかどうかであって、それを5年も放置して、さらにまだそのうち何とかとやってて信用できるかという話。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:0, 荒らし)
世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてる
https://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org]
けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!
正しいやり方をしようとしない日本の政府機関が悪い!!!
そう突っ張るのは自由ですよ。
ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。
でも困るのってユーザじゃないの?
例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?
一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているの
Re: (スコア:0)
そうは言うがな、大佐。
GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。
そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。
日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。
少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?
Re: (スコア:0)
Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。
もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。
日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。
#そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが
#本質はそこじゃないのでスルーする
Re:意地を張るのもいいけどさ。被害受けるのユーザーじゃん? (スコア:0)
>Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、
Mozillaはそんなこと言っていないだろ。
もっと基本的な、"CA運用側"が問題を認識したら速やかに解消するかどうかであって、
それを5年も放置して、さらにまだそのうち何とかとやってて信用できるかという話。