アカウント名:
パスワード:
GPKIが必要なのは確かなので、結局どーすりゃいいのさ。
Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。
今はLet’s Encryptという便利なものがあるんですよ認証?ドメイン認証してれば政府だとわかるでしょ(雑)
自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。
詰まるところ、そこなんですよね。そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?
官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?
郵便みたいに、あらゆる手続きに無くてはならないサービスだから。どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、その企業が変な所に買収されないように、とか色々と考えなきゃならない。
と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。
そんな大層な話じゃなくて、総務省のB-CASや財務省のe-TAXと同じように、「国」の許認可や認証を使っての、天下り利権を構築したいだけなんじゃないですかね。経産省あたりが。うまく構築できたら、外郭団体なり経営実態のあやしい関係会社なりが日本国内の企業や団体のSSL鍵の認証を一手に仕切って(国が認めた以外のSSL鍵は使用禁止とかの法律で裏付けるようにして)、ボッタクリ価格で認証するようにするんですよ。
であれば、"利便性のために"他のルート認証局に認証してもらって、「なんか通常の認証局では保証さない日本政府独自の素敵なセキリティー」を提供する機関としても良いような
# 利便性の手間賃と、プレミアム()サービスの付加価値で、価格を高くする理由にもなるし
レビューでごたごたあった中に、「発行するキーのドメインはgo.jp限定にしました」、みたいな話がったよね。
理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。
日本国内にもルート証明機関はありますよね。サイバートラストとかセコムとか。GlobalSign は会社ごと買ってきたので、判断に迷うところですが。
海外のWebブラウザーなどのルート証明プリインストールする所を信頼できて認証局を信頼出来ないとする根拠もわからないなあ。
個人的にはルート証明書をオレオレ証明書で渡すような素人の認証局なんて信頼出来ない
米国など外国の企業等を信用しないわけではないけれど、依存しすぎないように自前でも、ということでしょう。
安全保障みたいな文脈から。
GPSを利用するけど、自前の衛星も打ち上げるべきとか、みたいな。
政府系でルート証明機関をやるべきかどうかは判断できないけど、そういう文脈での発想なら理解できる。
国内でよければセコムから証明書を買ってくればいいのでは。政府がやる意味が分からない。
国立情報学研究所が大学・研究機関向けに運用している証明機関UPKIはそうなってますね。セコムのルート証明機関の二次証明機関になっている。https://certs.nii.ac.jp/certs/ [nii.ac.jp]
結局のところ、GPKIなんて、セコム(entrust)とNEC、富士通、三菱、IBM、日立が組んで運用しているだけなので、国っても日本企業が運用してるのと変わりませんが。
それより設備全般、なかなかに豪華仕様になってるはずですが。
秘密鍵を生成するHSMには物理的に入れないようになってるはずだ。。施設を持つのは無駄のような気もするが、そこはいいのかね。。
気持ちはわかるんだけど、そもそもブラウザやOS自体が海外製だから、その中の一コンポーネントだけとって「海外は信用ならん」ってのはあまり実用性は高くない話だなぁ。
このコメントにぶら下がってるコメントを見ると、この件に対する偏りが見て取れるな……。
電子行政申請などのために、公的個人認証サービスなどへつなげるためにスタートしてるってのは、ググればすぐわかる事。コメントをみると、どうも一見技術的に見える方面は熱心に調べるけど、それ以外については理解を拒否ってるのが跳梁跋扈してる感じがあるな
一つの解決策としては、その昔GeoTrustとかがやってた「クロスルート証明書」という方式があります。ブラウザ内にルート証明書が入っていなくても、他の証明機関から証明してもらうことで、とりあえず中間証明書として使用しよう、というものです。
まぁ、要するに日本政府にやる気があるかどうか、という話に行き着くわけですが。
官報に公開鍵告示して、ついでに法律で政府のルート証明バンドルしないOSの販売やブラウザの初期インストールを禁止すればいいんじゃない?
M$の回し者ですか?Android端末が全滅してしまう。
仮にそうなったとしたら、各メーカーがGPKIのRootCertを入れて出してくるでしょ。いまだって、技適を取らないと売れないわけだし。それよりはずっとカンタン。
各メーカってどこよ。ほぼ全部中国 or 米国(apple)やん。
その中国や米国のメーカやで。今でも、(日本向けに販売する機械なら)技適とかPSEとかちゃんと取ってるでしょ、どこで作ってるかは関係ない。取ってないなら、日本では売れないだけ。
#AppleはもうGPKIのRootCert入れとるけどね。
今時当然のように「M$」とか…
なお、官報でのフィンガープリントの告示ならすでに実施されています。なので、「インターネット経由でルート証明書Application CA2をダウンロードし、官報で正しいものであることを確認し、インストールする」という手順であれば実現可能です。
http://www.gpki.go.jp/apca2/index.html [gpki.go.jp]
ダウンロードした証明書が改ざんされていないことを確認するために、ダウンロードした証明書のフィンガープリント(拇印)と 本ウェブサイトで公開しているフィンガープリント一覧にあるフィンガープリントとを比較
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
ご高説ごもっとだけど (スコア:0)
GPKIが必要なのは確かなので、結局どーすりゃいいのさ。
Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。
Re:ご高説ごもっとだけど (スコア:2)
今はLet’s Encryptという便利なものがあるんですよ
認証?ドメイン認証してれば政府だとわかるでしょ(雑)
Re:ご高説ごもっとだけど (スコア:1)
自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。
つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:0)
詰まるところ、そこなんですよね。
そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?
「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?
官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、
と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?
Re: (スコア:0)
郵便みたいに、あらゆる手続きに無くてはならないサービスだから。
どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、
その企業が変な所に買収されないように、とか色々と考えなきゃならない。
と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。
Re:つまりは「なんでそんな面倒なこと始めちゃったの?」 (スコア:2)
そんな大層な話じゃなくて、総務省のB-CASや財務省のe-TAXと同じように、「国」の許認可や認証を使っての、天下り利権を構築したいだけなんじゃないですかね。経産省あたりが。
うまく構築できたら、外郭団体なり経営実態のあやしい関係会社なりが日本国内の企業や団体のSSL鍵の認証を一手に仕切って(国が認めた以外のSSL鍵は使用禁止とかの法律で裏付けるようにして)、ボッタクリ価格で認証するようにするんですよ。
Re: (スコア:0)
であれば、"利便性のために"他のルート認証局に認証してもらって、
「なんか通常の認証局では保証さない日本政府独自の素敵なセキリティー」
を提供する機関としても良いような
# 利便性の手間賃と、プレミアム()サービスの付加価値で、価格を高くする理由にもなるし
Re: (スコア:0)
レビューでごたごたあった中に、「発行するキーのドメインはgo.jp限定にしました」、みたいな話がったよね。
Re: (スコア:0)
理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。
まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。
Re: (スコア:0)
日本国内にもルート証明機関はありますよね。サイバートラストとかセコムとか。
GlobalSign は会社ごと買ってきたので、判断に迷うところですが。
Re: (スコア:0)
海外のWebブラウザーなどのルート証明プリインストールする所を信頼できて認証局を信頼出来ないとする根拠もわからないなあ。
個人的にはルート証明書をオレオレ証明書で渡すような素人の認証局なんて信頼出来ない
Re: (スコア:0)
米国など外国の企業等を信用しないわけではないけれど、
依存しすぎないように自前でも、ということでしょう。
安全保障みたいな文脈から。
GPSを利用するけど、自前の衛星も打ち上げるべきとか、みたいな。
政府系でルート証明機関をやるべきかどうかは判断できないけど、
そういう文脈での発想なら理解できる。
Re: (スコア:0)
国内でよければセコムから証明書を買ってくればいいのでは。
政府がやる意味が分からない。
Re: (スコア:0)
国立情報学研究所が大学・研究機関向けに運用している証明機関UPKIはそうなってますね。
セコムのルート証明機関の二次証明機関になっている。
https://certs.nii.ac.jp/certs/ [nii.ac.jp]
Re: (スコア:0)
結局のところ、GPKIなんて、セコム(entrust)とNEC、富士通、三菱、IBM、日立が組んで運用しているだけなので、
国っても日本企業が運用してるのと変わりませんが。
それより設備全般、なかなかに豪華仕様になってるはずですが。
秘密鍵を生成するHSMには物理的に入れないようになってるはずだ。。
施設を持つのは無駄のような気もするが、そこはいいのかね。。
Re: (スコア:0)
気持ちはわかるんだけど、そもそもブラウザやOS自体が海外製だから、
その中の一コンポーネントだけとって「海外は信用ならん」ってのは
あまり実用性は高くない話だなぁ。
Re: (スコア:0)
このコメントにぶら下がってるコメントを見ると、この件に対する偏りが見て取れるな……。
電子行政申請などのために、公的個人認証サービスなどへつなげるためにスタートしてるってのは、ググればすぐわかる事。
コメントをみると、どうも一見技術的に見える方面は熱心に調べるけど、それ以外については理解を拒否ってるのが跳梁跋扈してる感じがあるな
Re:ご高説ごもっとだけど (スコア:1)
一つの解決策としては、その昔GeoTrustとかがやってた「クロスルート証明書」という方式があります。
ブラウザ内にルート証明書が入っていなくても、他の証明機関から証明してもらうことで、
とりあえず中間証明書として使用しよう、というものです。
まぁ、要するに日本政府にやる気があるかどうか、という話に行き着くわけですが。
Re: (スコア:0)
官報に公開鍵告示して、ついでに法律で政府のルート証明バンドルしないOSの販売やブラウザの初期インストールを禁止すればいいんじゃない?
Re: (スコア:0)
M$の回し者ですか?
Android端末が全滅してしまう。
Re:ご高説ごもっとだけど (スコア:1)
仮にそうなったとしたら、各メーカーがGPKIのRootCertを入れて出してくるでしょ。
いまだって、技適を取らないと売れないわけだし。それよりはずっとカンタン。
Re: (スコア:0)
各メーカってどこよ。ほぼ全部中国 or 米国(apple)やん。
Re:ご高説ごもっとだけど (スコア:1)
その中国や米国のメーカやで。
今でも、(日本向けに販売する機械なら)技適とかPSEとかちゃんと取ってるでしょ、どこで作ってるかは関係ない。取ってないなら、日本では売れないだけ。
#AppleはもうGPKIのRootCert入れとるけどね。
Re: (スコア:0)
今時当然のように「M$」とか…
Re: (スコア:0)
なお、官報でのフィンガープリントの告示ならすでに実施されています。なので、「インターネット経由でルート証明書Application CA2をダウンロードし、官報で正しいものであることを確認し、インストールする」という手順であれば実現可能です。
http://www.gpki.go.jp/apca2/index.html [gpki.go.jp]
ダウンロードした証明書が改ざんされていないことを確認するために、ダウンロードした証明書のフィンガープリント(拇印)と
本ウェブサイトで公開しているフィンガープリント一覧にあるフィンガープリントとを比較