パスワードを忘れた? アカウント作成
13538469 story
Mozilla

Mozilla、日本政府の公開鍵基盤(GPKI)について「対応予定なし」というステータスに 134

ストーリー by hylom
正しいやり方をしようとしない日本の政府機関 部門より

FirefoxはGPKI(政府による公開鍵基盤)に対応しておらず、一部政府系サイトの閲覧時に警告が表示されることが以前から問題となっている(過去記事)。この問題を解決できるよう活動は行われているものの、この状況が改善することはまだしばらくないようだ(IIJ 大津繁樹氏によるTweet「yumetodoの旅とプログラミングとかの記録」ブログBugzillaでの議論)。

Bugzillaではこの問題に対するステータスが2月27日に「WONTFIX」(修正予定無し)へと変更されている。長い議論となっているが、証明書を発行する認証局に対する基本要件(Baseline Requirements、BR)に準拠していない時期に発行された証明書がまだ有効なままで残っているのが非対応の理由となっている。

この問題がWONTFIXとなったことを受けて、GPKI側は問題のある証明書を無効化する準備をしているとしているが、これに対しMozilla側はこういった証明書が無効化されずに残っていること自体がBR違反であるとして、無効化を行ったとしても必ずしもGPKIに対応するわけではないとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Baseline Requirements (スコア:3, 参考になる)

    by Anonymous Coward on 2018年03月01日 17時10分 (#3369515)

    あー、これか。

    Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates [cabforum.org][※PDF]

    4.9.1.1. Reasons for Revoking a Subscriber Certificate

    The CA SHALL revoke a Certificate within 24 hours if one or more of the following occurs:
            :
    9. The CA is made aware that the Certificate was not issued in accordance with these Requirements or the CA’s Certificate Policy or Certification Practice Statement;

    証明書の非準拠を認識した後、24時間以内に失効させられなきゃCAを名乗る資格がない、と。
    「言われたからやった」じゃ駄目なわけね。

    • by Anonymous Coward on 2018年03月01日 17時24分 (#3369531)

      しかも「言われたからやった」どころか「言われたから準備してる(まだやってない)」……

      親コメント
    • by Anonymous Coward

      逆に Microsoft や Google が GPKI に対応しているのはどういう基準からなのか気になる。

      • by honttt (48326) on 2018年03月01日 17時50分 (#3369550) 日記
        んー、メーラによくある 送信は厳格に、受信は寛容に みたいな?
        親コメント
  • by Anonymous Coward on 2018年03月02日 9時23分 (#3369880)

    なんか怖いね。

    よほどMozillaに恨みがあるか、安倍晋三の失策にならないよう必死にMozillaのせいにしようとしている方がいるのかなぁ。

    Bug 870185 [mozilla.org]を見ると分かると思うけど、5年間も適当な対応をし続けてきたのだから仕方ないんじゃない?

    おそらく、担当者が人事異動でコロコロ変わり、「引き継ぎ事項に入っているので任期中に何かやった証拠を残すために対応するけど、続きは次の担当者に」という先送り対応を続けてきたのではないだろうか。そして、今回の担当者は誠実に対応しようとしたけど、Mozillaと日本国政府の板挟みになったように見受けられる。

    審査する側からしたら、相手が企業か政府かといった組織形態なんて関係なく、ポリシーに則っているか否かを淡々と審査し、バリデーションの結果を返す (問題があれば修正か取り下げを求める、問題がなければ受け入れる) だけ。情や組織の威光という審査項目にないものでなんとかしようとしても、通るわけがない。

  • お好きでしょう、そういうの

  • by Anonymous Coward on 2018年03月01日 17時20分 (#3369525)

    ApplicationCA2 Rootって何だよw
    この名前で日本政府が署名してるってことを連想できる人ってどこにいるの?

  • by Anonymous Coward on 2018年03月01日 17時35分 (#3369542)

    世界的監査法人のひとつ、PwCあらたが入って、国際基準に従った認証は済ませてる
    https://cert.webtrust.org/ViewSeal?id=2385 [webtrust.org]
    けど、そんなことは関係なく、メールでやりとりしたMozillaの見解の方が正しいんだ!
    正しいやり方をしようとしない日本の政府機関が悪い!!!

    そう突っ張るのは自由ですよ。
    ええ。清浄なるインターネットを守るためという非常に高いお志はご立派です。

    でも困るのってユーザじゃないの?
    例えば、このいびつな状況を利用してフィッシングとか出たらどうなる?
    一番悪いのはそりゃフィッシング詐欺の犯人だけど、それを防ぐ事ができる行動をとっているのに、意地の張り合いでユーザを危険にさらしてどーすんのさ。
    PwCあらた監査入って認証してるけど、Mozillaが許さないという事で発生する問題点と、
    Mozillaの見解には違反してるけど、PwCあらたの監査結果を信用して証明書を加えることで発生する問題

    定量的に見て、どちらが問題を小さくできるかは明白じゃない?
    それとも、立法措置などで強制される方をお望みなのか?
    それは誰も望んでないと思うけど、Mozillaはそっちに突き進んでること理解しているのか?Mozillaが掲げる自由なインターネットという最も重要な理念に対して、こんな枝葉の部分で意地張っていいことあんのかよ。

    • と言うか、PwCあらたって、東芝の粉飾決算問題で全く問題ない。って監査結果出して、株主などから文句が出て降ろされた監査法人じゃないですか。
      監査事業がいい加減と言うか、監査を依頼した側に都合悪い話はなかったことにしてきてる会社では…

      --
      --暮らしの中に修行あり。
      新しいblogはじめました。 [hateblo.jp]
      親コメント
    • by Anonymous Coward

      そうは言うがな、大佐。
      GPKI認証局が「24時間以内に失効」を実行できないということが判明している以上、信頼できないのは事実なわけよ。
      そうすると、GPKIを信頼したユーザーが被害者となりかねないわけで。
      日本国内だけで収まる話ではないんだから、慎重になるのはしょうがない。

      少なくとも、認証局の中の人に「これはヤバいかも」と危機感を覚えさせる役には立ってるんじゃないの?

      • by Anonymous Coward

        Mozillaが指摘したら24時間以内に停止せよ、それができなきゃ認めない、なんてルールじゃない。Mozillaが問題だと言っているだけで、ルール準拠については、それも含めて監査は終了しているんだよ。
        もしMozillaがこれを問題にするなら、PwCが認証したものは全て信用できないとして全部リジェクトしなきゃ理屈が合わない。でもそれはやらない。

        日本政府側は失効が必要な問題であるという見解を持ってない。しかし、Mozillaが問題にするならば見解の相違はさておき従うと打診してるだけ。

        #そもそも24時間以内に失効せよというのは、不正証明書などの話で過大解釈だと思うが
        #本質はそこじゃないのでスルーする

        • by Anonymous Coward on 2018年03月01日 18時48分 (#3369588)

          例えば、他国がGPKIみたいなことをやったとする。
          24時間以内に対応できない状況で。
          それをFirefoxにねじ込んできたら、迷惑だと思わん?
          「お前の国の中だけでやってろ」って。

          そもそもがさ、GPKIなんて必要ないものじゃん。
          NASA見てみ? COMODOだぜ?

          https://www.nasa.gov/ [nasa.gov]

          日本の公的機関だって、別にCOMODOでも何も困らんわけで。
          ようは、「証明書に金払うのが嫌で、ケチって自前認証局を立てることにした」のがGPKIでしょ。
          維持費を甘く見てたツケを払わされてるわけだ、今

          親コメント
          • そら確かに迷惑だが、そーじゃなくて、24時間以内に対応ができないって言ってるの、Mozillaだけじゃねーの?って話よ。
            このまんまじゃ、ルールも監査制度も知らねえ、そんなことよりMozillaが指摘したらら24時間以内に対応しろってそんな条件になってるけど、マジMozillaそれでいいんか?それMozillaの基本ミッションにも障害になってしまうんじゃね?って事よ。

            政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてるわけよ。さっき見たらPwCじゃなくEYになってたど、EYはPwCよりもこの分野で実績あるみたいだからこっちのがよいはず。
            で、他じゃこれで十分だっていってるわけよ。
            たとえばMSはこう

            http://aka.ms/RootCert [aka.ms]

            簡単に言うと、webtrustも含む認めたルールに従った監査を正しく受けたレポートを添えて申請せよってだけだぜ。
            んで、失効に関する事もきっちり

            identifies an Authenticode certificate as either containing a deceptive name or as being used to promote malware or unwanted software, Microsoft will contact the responsible CA and request that is revoke the certificate.

            実際に使用された場合に限定して書いてある。
            これが普通でしょ。そらま、セキュリティインシデントの定義には、最終的にマイクロソフトが問題と考えるそのほかの理由、みたいな要件も入ってるけど、こんな風にポンポンと行使したりしない。

            >そもそもがさ、GPKIなんて必要ない

            まぁこれはわかる。
            わかるけど、流石にケチって立てたわけじゃないで。
            サイバー攻撃などの動向、自治体閉鎖網の動向とかみると、GPKIがあるべきだというのもまぁ一理あるんでないの。最近、大手認証局の不正発覚なんてのもあるし。

            親コメント
            • by Anonymous Coward

              政府は既に24時間以内対応も含め、ルールに準拠してることを国際的に実績のある監査法人によって実地監査を受けて認証をされてる

              じゃあ、やっぱり#3369611 [srad.jp]が原因か?
              監査で認証された対応をしない、と運用担当者が言ってしまったら、「認証した奴、出てこい」状態になるだろう。

            • by Anonymous Coward

              mozilaのルート証明書には既にいくつも登録されてるんだからそれら他の認証局は同じ条件をクリアしてるでしょ。

  • by Anonymous Coward on 2018年03月01日 18時08分 (#3369565)

    はい解決

    • by Anonymous Coward on 2018年03月01日 19時27分 (#3369619)

      ブラウザとは関係なく、AndroidはもちろんLinuxディストリビューションなどで広くMozillaのCA認証が採用されているっぽいですが

      親コメント
      • by Anonymous Coward

        全部ゴミ箱にすてればいいじゃんか。

    • by Anonymous Coward on 2018年03月01日 18時22分 (#3369572)

      Makoto Kato氏のツイート [twitter.com]によると、Android全滅っぽいです。

      親コメント
      • 話の繋がりがよくわからない。
        Androidって必要ならユーザーが証明書のインストールできるし、Firefoxがデフォルトブラウザというわけでもないし、Googleって今はもう(影響力はあるにせよ)Mozillaのメインスポンサーじゃないし、ましてやMozillaの判断基準にあわせてGPKIを排除しなきゃいけない理由もなかった筈だけど。

        親コメント
        • by Anonymous Coward on 2018年03月01日 19時02分 (#3369598)

          Androidって必要ならユーザーが証明書のインストールできるし

          それはFirefoxでも可能ですよ。

          Firefoxがデフォルトブラウザというわけでもないし

          さっき、手元のAndroid 7.0 + Chromeで試してみましたけど、Firefoxと同様に警告画面が表示されました。

          Googleって今はもう(影響力はあるにせよ)Mozillaのメインスポンサーじゃないし

          話の繋がりがよくわからない。

          ましてやMozillaの判断基準にあわせてGPKIを排除しなきゃいけない理由もなかった筈だけど。

          AndroidはMozilla CA Certificate Store [mozilla.org]を信頼済みルート証明書セットとして採用している。

          親コメント
        • by Anonymous Coward on 2018年03月01日 19時36分 (#3369626)

          FirefoxやThunderbird以外でも広く使われてる
          Linux機のパッケージを更新しているとca-certificatesというのを見かけると思うけど、あれがMozillaの認証局リスト

          親コメント
          • なるほど、Mozillaの認証局リストを使ってるのですね。

            んー、でも現行機種はともかく、将来的にはAndroidだと、国内キャリア販売分はキャリアが証明書インストールして売る、とかはできそう、なのかなぁ。それでいいのかって気もするけど。

            親コメント
  • by Anonymous Coward on 2018年03月01日 18時23分 (#3369573)

    韓国みたいな独自ガラパゴス路線へ行く可能性が微レ存

  • by Anonymous Coward on 2018年03月01日 18時42分 (#3369585)

    GPKIが必要なのは確かなので、結局どーすりゃいいのさ。

    Webサイトに手順を書いて、日本中のじーちゃんばーちゃんに手作業でルート証明書をインストールさせるのが正しい状態だとはいえんだろう。

    • 今はLet’s Encryptという便利なものがあるんですよ
      認証?ドメイン認証してれば政府だとわかるでしょ(雑)

      親コメント
    • by Anonymous Coward on 2018年03月01日 18時45分 (#3369586)

      自分で書いてて気づいた。別に政府だからってルート証明書でなくてもいいよな。

      親コメント
      • 詰まるところ、そこなんですよね。
        そもそも、なんでルート証明機関に名乗り出るなんてことを始めちゃったんでしょう?
        「なんか新しい既得利権っぽいぜヒャッホー」くらいの勢いでやっちゃったんでしょうか?

        官公庁の風習として、一度決めたことを覆すのは、太平洋のどこかに落ちた1円玉1つを探すよりも大変、
        と言われたりもしますが、今からでも遅くはないので、あきらめたらどうなんでしょう?

        • by Anonymous Coward

          郵便みたいに、あらゆる手続きに無くてはならないサービスだから。
          どこかのルートCAの証明書に依存してると、そこがヘソを曲げると公的サービスが止まっちゃう危険があるから、
          その企業が変な所に買収されないように、とか色々と考えなきゃならない。

          と、考えていくと、ルートCA用に法律で縛りまくって保護しまくった特殊な立場で法人を用意して、という、それこそ利権ネタに落ち着く。

        • by Anonymous Coward

          理屈の上では、海外の民間のルート証明機関を信頼できないって話じゃないかな。
          まあ Verisign を信頼できないなら、Mozilla の認証局リストを信頼している現状はどうなのって話なんだが。

    • by Anonymous Coward on 2018年03月02日 7時46分 (#3369826)

      一つの解決策としては、その昔GeoTrustとかがやってた「クロスルート証明書」という方式があります。
      ブラウザ内にルート証明書が入っていなくても、他の証明機関から証明してもらうことで、
      とりあえず中間証明書として使用しよう、というものです。

      まぁ、要するに日本政府にやる気があるかどうか、という話に行き着くわけですが。

      親コメント
  • by Anonymous Coward on 2018年03月01日 19時51分 (#3369637)

    これが問題となってFirefoxが逆に非対応WEBブラウザになってます。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...