アカウント名:
パスワード:
意外と知られていませんが、Windows には日本政府のルート証明書 (GPKI) がプレインストールされてます。そのため、政府主導の取り組みでISPの協力が得られれば、接続時に「警告画面」を表示する仕組みというのは技術的には簡単に導入できてしまいます。MITM するサーバに対して GPKI が証明書を発行するだけで、ブラウザは正規のサイトだと認証してしまうのです。
もし、日本政府が GPKI の証明書で MITM を始めたとき、Microsoft は GPKI をきちんと revoke してくれますかね?海外向けの Windows に関しては当然 revoke してくれると思いますが、Microsoft は日本政府をわりと忖度しますので、地域設定が日本の場合のみ GPKI のルート証明書を有効にするとかそういう中途半端な対応になりそうな気がします。
Firefox使えばええんや。
つまりMozillaのサイトがブロッキングされるわけか
え?Androidがブロッキングされるって本当ですか?
違法動画に依存している中高生が視聴に使うandroidが対応しなきゃ相当無意味な気がするが・・・
違法動画サイトが見られる。そう、iPhoneならね。
ChromeかつEV証明書のサイトであれば、Certificate Transparency必須なので、組織名が表示されなくなるっていう違いが出るような気がする。。
既にモバイルブラウザーからのアクセスが過半数に達していて、さらに伸びている。特に違法動画・静止画を見る世代では、PCよりもモバイル端末が使われている。政府系のWebサイトでは既に民間企業の証明書に切り替わっているので、政府自身としてもGPKIを重視している状況にはない。Windowsにいつまで証明書をプレインストールしてもらえるかは見通せない。WindowsUpdateで落とされる可能性さえある。
というわけで、本件にGPKIの証明書を使うのは筋が悪いと言わざるをえない。
やっぱりルート証明書があれば、全てのサイトの証明書が発行できるってのはちょっとユルすぎたよね。このサイトの証明書はこの証明書しか発行できないって仕組みを作っておくことはできなかったものか…
そんなことより、このACがどうして「日本政府が GPKI の証明書で MITM を始める」と言う妄想にとりつかれてしまったのかが気になる
ネットワークを通常ルートじゃ出来ないからですよhttps://www.google.jp/ [google.jp]に対してアクセスしようと思った時海賊サイトだ!されているのであれば警告ページを問題なく出させるためには日本政府のルート証明書で検証されてる「偽物の証明書」を使うんですよ
つまり、普通のウイルス対策ソフトやフィルタリングソフトがやっている方法を知らない人が勘違いしちゃったってこと?
エンジニアとして相談受けたと考えるとそんな話になると思うけど。
政府「こういうことがやりたい」エンジニア「MITMですか、また無茶な」政府「技術的に可能かどうかを聞いている」エンジニア「GPKIの証明書を使ったら技術的にはできますけど、即BANされるんじゃないです?」
つまり上のAC氏は政府から相談受けたエンジニアだって事なの?
そうじゃなかったら要するに妄想だって事じゃん
基本は、既存の有害サイトフィルタリングと同じでしょ。 なんでこんな妄想になるのか分からん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
Windows には日本政府のルート証明書 (GPKI) がプレインストールされてます (スコア:0)
意外と知られていませんが、Windows には日本政府のルート証明書 (GPKI) がプレインストールされてます。
そのため、政府主導の取り組みでISPの協力が得られれば、接続時に「警告画面」を表示する仕組みというのは技術的には簡単に導入できてしまいます。
MITM するサーバに対して GPKI が証明書を発行するだけで、ブラウザは正規のサイトだと認証してしまうのです。
もし、日本政府が GPKI の証明書で MITM を始めたとき、Microsoft は GPKI をきちんと revoke してくれますかね?
海外向けの Windows に関しては当然 revoke してくれると思いますが、Microsoft は日本政府をわりと忖度しますので、地域設定が日本の場合のみ GPKI のルート証明書を有効にするとかそういう中途半端な対応になりそうな気がします。
Re: (スコア:0)
Firefox使えばええんや。
Re: (スコア:0)
つまりMozillaのサイトがブロッキングされるわけか
Re: (スコア:0)
え?Androidがブロッキングされるって本当ですか?
Re: (スコア:0)
違法動画に依存している中高生が視聴に使うandroidが対応しなきゃ相当無意味な気がするが・・・
Re: (スコア:0)
違法動画サイトが見られる。そう、iPhoneならね。
Re: (スコア:0)
ChromeかつEV証明書のサイトであれば、Certificate Transparency必須なので、
組織名が表示されなくなるっていう違いが出るような気がする。。
Re: (スコア:0)
既にモバイルブラウザーからのアクセスが過半数に達していて、さらに伸びている。
特に違法動画・静止画を見る世代では、PCよりもモバイル端末が使われている。
政府系のWebサイトでは既に民間企業の証明書に切り替わっているので、政府自身としてもGPKIを重視している状況にはない。
Windowsにいつまで証明書をプレインストールしてもらえるかは見通せない。WindowsUpdateで落とされる可能性さえある。
というわけで、本件にGPKIの証明書を使うのは筋が悪いと言わざるをえない。
Re: (スコア:0)
やっぱりルート証明書があれば、全てのサイトの証明書が発行できるってのはちょっとユルすぎたよね。このサイトの証明書はこの証明書しか発行できないって仕組みを作っておくことはできなかったものか…
Re: Windows には日本政府のルート証明書 (GPKI) がプレインストールされてます (スコア:0)
そんなことより、このACがどうして「日本政府が GPKI の証明書で MITM を始める」と言う妄想にとりつかれてしまったのかが気になる
Re: (スコア:0)
ネットワークを通常ルートじゃ出来ないからですよ
https://www.google.jp/ [google.jp]に対してアクセスしようと思った時海賊サイトだ!されているのであれば
警告ページを問題なく出させるためには日本政府のルート証明書で検証されてる「偽物の証明書」を使うんですよ
Re: Windows には日本政府のルート証明書 (GPKI) がプレインストールされてます (スコア:0)
つまり、普通のウイルス対策ソフトやフィルタリングソフトがやっている方法を知らない人が勘違いしちゃったってこと?
Re: (スコア:0)
エンジニアとして相談受けたと考えるとそんな話になると思うけど。
政府「こういうことがやりたい」
エンジニア「MITMですか、また無茶な」
政府「技術的に可能かどうかを聞いている」
エンジニア「GPKIの証明書を使ったら技術的にはできますけど、即BANされるんじゃないです?」
Re: Windows には日本政府のルート証明書 (GPKI) がプレインストールされてます (スコア:0)
つまり上のAC氏は政府から相談受けたエンジニアだって事なの?
そうじゃなかったら要するに妄想だって事じゃん
Re: Windows には日本政府のルート証明書 (GPKI) がプレインストールされてます (スコア:0)
基本は、既存の有害サイトフィルタリングと同じでしょ。
なんでこんな妄想になるのか分からん。