パスワードを忘れた? アカウント作成
15028451 story
インターネット

Microsoft、2020年末に期限切れになるルート証明書を削除しないよう呼びかけ 36

ストーリー by nagazou
非削除 部門より
あるAnonymous Coward 曰く、

ImpressWatchによると、Microsoftが「2020年末に期限切れになるルート証明書を削除しないで」と呼び掛けているそうだ。(Microsoft)
記事によれば、Windows 7、Windows Vista、Windowser Server 2008/2008 R2には2020年末に有効期限が切れるルート証明書が存在しており、ユーザーがこれらのルート証明書を削除してしまうと、動作しないアプリが出たり、最悪の場合OSが壊れるといった危険性を挙げている。
よほど詳しい人でない限りは削除するとは考えにくいと思われるが、皆さん気を付けましょう。

情報元へのリンク

  • Impress Watchによると、
    「ただ、これらの証明書は下位互換性のために必要である。」
    らしい。
    しかしこれは間違っている。正解は「後方互換性」だ。
    記事の元にしたM$のページではちゃんと
    「Backward compatibility」
    だと書いてある。完全に誤訳である。
    つまり、そもそもよく分かっていない記者が書いている記事だから余計によく分からない説明になっているんだよ。

    ここに返信
    • 「下位互換性」でもいいじゃん的な意見があったので
      Impress PC Watch編集部に「誤訳だろ」的な内容でメル凸したぞ。
      結果、該当記事の「下位互換性」という部分は「後方互換性」に修正された。

      修正前の記事
      http://web.archive.org/web/20201225083545/https://pc.watch.impress.co.... [archive.org]

      修正後(現在)の記事
      https://pc.watch.impress.co.jp/docs/news/1297082.html [impress.co.jp]

      というわけでImpressが間違いを認めて修正したので、この内容に関しては「後方互換性」が正解である。
      やはり完全な誤訳だったわけだ。

      しかしこういうのって訂正記事を出すものかと思ってたら、どうやらそんなのなくてサイレントリリースなんだな。
      まぁ、修正されたんだからいいか。

      Impress PC Watch編集部の方々、該当記事執筆担当記者の劉様、ACの方々、ありがとうございました。
      皆様もお間違えない様お気を付けください。

    • by Anonymous Coward

      Impress Watchによると、
      「ただ、これらの証明書は下位互換性のために必要である。」
      らしい。
      しかしこれは間違っている。正解は「後方互換性」だ。
      記事の元にしたM$のページではちゃんと
      「Backward compatibility」
      だと書いてある。完全に誤訳である。

      Google翻訳曰く
      Backward compatibility 下位互換性
      https:// [google.com]

    • by Anonymous Coward

      新製品は(大抵)旧製品の機能を盛り込んだ上で新機能が足されてるものだからなぁ
      下位互換と後方互換は一緒にまとめられがち

      • そういうことを言っているんじゃない。
        「Backward compatibility」を「下位互換性」と間違って訳していることに問題があると言っているんだよ。
        下位互換と後方互換が一緒にまとめられがちだとしても、
        それを判断するのは「記者」ではなくて「読者」なのだから、「記者」は正確に記事を書く必要がある。

      • by Anonymous Coward on 2020年12月25日 17時32分 (#3948736)

        だがちょっと待ってほしい。
        その下位互換という言葉、使い方合っているだろうか?

        下位互換は、下のレベルの製品が上のレベルの製品に対して互換性を
        持っていることをいうのに対し、後方互換は、新バージョンが
        旧バージョンに対して互換性を持つことをいうのだ。

        百歩譲って上位互換/下位互換ペアと前方互換/後方互換ペアの意味が似ていると
        認めたとしても、下位互換≒後方互換とするのは間違いではなかろうか。

  • by Anonymous Coward on 2020年12月25日 14時50分 (#3948630)

    期限切れエラーが報告されて怒られるが
    ユーザーでは更新できないし
    古いの残ってると延々怒られるし
    酷いやっつけ仕様になってるのよねぇ

    ログ出すのはいいけど
    せめてMSが把握している分くらいは
    対処についての情報もログに出して
    注意喚起せんかいみたいな

    ここに返信
    • by Anonymous Coward

      サポート切れのOSだからそこまで面倒見てやる義理はないのでは
      もし使ってるとしたらネットにつながってないからパッチも当たらないだろうし
      むしろ注意喚起するくらいしかすることなくね

      • by Anonymous Coward

        サポート切れのOSだからそこまで面倒見てやる義理はないのでは

        ん?最新のWindows10をお使いなら
        イベントビュアで期限切れ署名の警告出てるのを
        最新のWindows10確認できるのでは?
        サポート切れのOSをお使いなのでしょうか?

  • by Anonymous Coward on 2020年12月25日 14時55分 (#3948633)

    素人考えだと、無効になるのだからそれは無くても良い物だと思うから
    削除したくなるけど、じつは期限切れでもそれは必要だった、ということですよね。
    となると、「期限切れ」ってなんだろうということですが
    よく判っていません。
    賞味期限みたいなものなのか?
    推奨次回校正時期みたいなものが近いのかな?
    詳しい方、どうでしょうか。

    ここに返信
    • by Anonymous Coward

      これも少し考えてみればわかる話ですが、
      デジタル署名という機能があり、ソフトウェアや文書のファイルが改ざんされていないことを証明しているわけですが、
      それらの署名に使う証明書も当然有効期限があります。じゃぁそれらの証明書の有効期限が切れたら、
      ファイルが改ざんされているかどうか検証できないのでしょうか?再度署名してもらわなければならないのでしょうか?

      もちろん、再度署名してもらわなくてもよい仕組みがあります。
      そうでなければ、Windows 7は2020年末で一斉に起動しなくなる恐ろしいタイマーがあるということになり、
      マイクロソフトは全世界で猛烈に批判されるでしょう。

      詳細は調べてもらいたいのですが、署名時に付与するタイムスタンプにより、有効期限になされた署名ということであれば、
      証明書の有効期限が切れても有効とみなしています。ただし証明書が失効させられていない場合に限ります。
      なので、証明書の有効期限が切れても、消してはならないのです。過去になされた署名が全部検証できなくなります。

      • by Anonymous Coward

        ところがどっこい2020年末に期限切れになるルート証明書の中にはThawte Timestamping CAも含まれているのでタイムスタンプすら信用できないっていうw
        長期署名で延命してれば問題ないんだろうけど、ちゃんとやってるのかなぁ?

    • by Anonymous Coward

      Windowsが、自身のサポート期限内は有効なことがわかってる証明書の存在を前提にしてる。
      証明書の期限が切れても、削除すると前提が崩れてWindowsが(最悪のケースで)動かなくなる。
      でもWindowsのサポート期限は終了してるから文句も言えない。
      なので正解はWindows10を使うこと。

    • by Anonymous Coward

      スーパーコンピュータで錠前を解析しても対応する鍵を作り出せないと考えられる安全な期間、それが有効期限。
      有効期限が切れると、誰かがスパコンで鍵の作成に成功して侵入している可能性が出てくる。
      そうなる前により強固な錠前に交換すべきだが、そのままだったり、あるいはより強固な錠前を次々と追加することで良しとしている場合がある。
      その場合、古い鍵を捨ててしまうと古い錠前を開錠できなくなる。

      そのままはヤバいが、錠前を次々に追加しているなら安全上の問題はない。
      MSがどっちかは知らない。

      • by Anonymous Coward

        だから、呼び方が悪いわけですよ。
        意味の解釈が必要な名前の付け方しないでほしい。
        直接意味を持った呼び方で、
        「推定安全期限」
        とかって呼べばいいと思う。

        • by Anonymous Coward

          証明書側の立場としては、古い錠前に追加するのではなく新しい錠前に交換すべきだから有効期限であってます。
          有効期限切れのOSやアプリは使うべきではない。利用者がわがままなのが悪い。

        • by Anonymous Coward

          運転免許証だって意味的には推定安全期間だけど有効期限って言うし、そんな解釈難しいか?

        • by Anonymous Coward

          単に保証期限じゃダメかなぁ

    • by Anonymous Coward

      切れてるものは、切れてる。
      期限切れの署名ということは、インチキ署名されてるかもしれないわけだ。
      それでも使うしかないときに、個別に判断するほかない。
      古いドライバしかない、古い機器とか。状況によっては、その機器ごと避けるのが正解かもしれない。
      期限切れてても、食えるなら食う、こともある。ってのと同じ。

      • by Anonymous Coward

        暗号破るのに実際にどれくらい時間がかかるかは予測できないから目安にすぎないという意味では確かに賞味期限っぽいな

    • by Anonymous Coward

      有効期限、正に賞味期限みたいなのが証明書データにセットされてる。他にフィンガープリントとかCNとかの別の値もセットされてる。
      ある証明書の期限更新なんてことがあると、新旧間では有効期限・フィンガープリントが別になる(合ってるかな)。

      マイクロソフトが作ってるOSとか、サードパーティーが作ってるアプリなんかがその証明書データをチェックしに行くわけだが、
      OSとかアプリが証明書を証明書データをどのようにチェックかはそれぞれが自分で決めてる(合ってるよね)。
      チェック内容は、有効期限が切れてないことの場合もあるけど、あるフィンガープリントと一致するものがあればOKの場合もある。
      後者は証明書を消してしまったら以後のチェック結果NGになる。

      上記があっていればの話だが…
      ユーザーは期限切れの証明書を消してから、古い証明書の情報で作られたアプリを起動したりするわけだ。
      チェック結果NGでアプリは動かなくて、賞味期限切れは食べないとユーザーが決めたとおりなわけだが、それをこう表現する人がいるのだ。
      「何もしていないのに壊れた」と

      • by Anonymous Coward

        勝手に補足。Authenticodeのタイムスタンプ付き署名では、証明書・秘密鍵を使ってファイルに署名した時刻が証明書の有効期限内であればOKと扱われる。試したことはないが、その証明書のチェーンのルート証明書をシステムから削除すると、Authenticode署名の検証に失敗するのではないかと思う。

        タイムスタンプの確認方法(MS Authenticode) Time Stamping Authenticode Signatures [digitrust.jp]

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...