Mozilla L10N フォーラム一覧 Mozilla 製品 とその関連ソフトの日本語化に関するフォーラムです。
参加方法などは modest を、変更履歴は Github をご覧ください。
 よくある質問  •  検索  •  登録ユーザ一覧  •  グループ   •  登録  •  ユーザ設定  •  ログインして PM を確認  •  ログイン
 にょずら - 証明書の管理 次のトピックを表示
前のトピックを表示
トピックの新規投稿返信
投稿者 メッセージ
カスベァ
ゲスト





記事 件名: にょずら - 証明書の管理     投稿時間: 2007年5月19日(土) 08:52 引用トップに移動

各所で既報ですが、IE 7 ではデフォルトで OCSP がオンになりました。
OCSP は Firefox/Thunderbird/SeaMonkey もサポートしていますが、これまで
言及されることが少なかったので、この機会に調べて「証明書の管理」という
ページを作成しました。
http://www2.tokai.or.jp/migaden/pipnyo/

その作業中にいくつかの問題点を見つけたので、深刻そうなものだけを報告させて
いただきます。
以下の3点は、いずれも直訳すると実際の動作と異なるもので、誤訳ではありません。
引用したソースは http://lxr.mozilla.org/l10n-mozilla1.8/source/ja/ です。


◇「オレオレ証明書」なのに「正しく検証」

1. 「オプション」の "セキュリティ警告" で "暗号化されたページを表示するとき"
 をオンにします。

2. 「オレオレ証明書」を使っているサイトにアクセスします。
 例: http://www.pref.saga.lg.jp/citizenH/help/shinseinavi/shinseisho.htm

3. "Web サイトが未知の認証局により認証されています" ダイアログで "このセッ
 ションの間だけ一時的に証明書を受け入れる" を選択して [OK] をクリックします。
 "暗号化されたページを要求しています。このサイトの認証情報は正しく検証されて
 おり、あなたがこのページで表示や入力する情報は第三者が簡単に傍受できません。"
 というダイアログが表示されます。

「未知の認証局により認証され」なので、「正しく検証され」てはいません。
もともとこのダイアログは正当な証明書に表示されるものですが、「オレオレ証明書」
にも表示されてしまうため、/pipnss/security.properties #49 EnterSecureMessage
と #50 WeakSecureMessage は見直したほうがよいと思います。


◇「信頼されません」なのに「信頼する」が選択済み

1. 「オレオレ証明書」を使っているサイトにアクセスします。
 例: http://www.pref.saga.lg.jp/citizenH/help/shinseinavi/shinseisho.htm

2. "Web サイトが未知の認証局により認証されています" ダイアログで "今後この
 証明書を受け入れる" を選択して [OK] をクリックすると、「オレオレ証明書」が
 インストールされます。(この動作は IE よりも危ないと思う)

3. "証明書マネージャ" - "サイト証明書" から LGPKI - www.pref.saga.li.jp
 選択して "設定" をクリックすると "サイト証明書に対する信頼性の設定"
 ダイアログが開きます。
 "この証明書を発行した認証局が不明であるため、ここで設定を変えない限りこの
 証明書は信頼されません。" であるにもかかわらず、"この証明書が本物であると
 信用する" が選択済みになっています。(実際に信頼されています。)

/pippki/pippki.properties #56 issuerNotKnown です。
#54 issuerNotTrusted は "この証明書が本物であると信用しない" が選択済み
なので、問題ありません。


◇ OCSP 検証できないときにもできそうな記述

/pippki/certManager.dtd #104 の "証明書は OCSP で検証されていません。
検証するには [表示] をクリックしてください。" は、「オプション」の "OCSP" で
"証明書に OCSP サービス URL が記載されている場合にのみ利用する" または
"次の OCSP レスポンダを利用してすべての証明書を検証する:" を選択すると
「証明書マネージャ」の下部に“常に”表示されます。
前者において、証明書に OCSP サービス URL が記載されていない場合には、[表示]
をクリックしても OCSP で検証されません。
また、レスポンダ(サーバー)がダウンしていても検証されません。


以上の3点は 1.8.1.5 で修正されるのが望ましいと考えますが、dynamis さんが
多忙で動けないようならピアさんよろしく。




登録日: 2006年9月 25日
記事: 693

ユーザ情報を表示メッセージを送信
記事 件名: Re: にょずら - 証明書の管理     投稿時間: 2007年5月26日(土) 21:45 引用トップに移動

カスベァ wrote:
以上の3点は 1.8.1.5 で修正されるのが望ましいと考えますが、dynamis さんが
多忙で動けないようならピアさんよろしく。

これらは、L10N のバグではありませんよね。

ja (および ja-JP-mac) locale のみ、現状のコードに合わせて修正するのが望ましいということでしょうか?
それとも、既に bugzilla には報告されていたりするのでしょうか?




登録日: 2006年9月 25日
記事: 693

ユーザ情報を表示メッセージを送信
記事 件名: Re: にょずら - 証明書の管理     投稿時間: 2007年5月26日(土) 23:11 引用トップに移動

あ wrote:
これらは、L10N のバグではありませんよね。
あ wrote:
それとも、既に bugzilla には報告されていたりするのでしょうか?

少なくとも Bugzilla-jp にはないようだったので、報告しておきました。

http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=5721
http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=5722
http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=5723
カスベァ
ゲスト





記事 件名:     投稿時間: 2007年5月27日(日) 18:19 引用トップに移動

すみませんでした。
日本語パックをちょこっと手直しすれば済む問題だと考えていました。
というのも、ダイアログの文言が矛盾していることに何年間も気づかれずにきた理由は、
政府の PKI に自前の証明書を使う国が日本以外にはほとんどなく、このダイアログを
見た人も少なかったからだろうと思うのです。
ですから、日本語パックで修正してしまえば、このままそっとしておけるのではないかと。

"証明書は OCSP で検証されていません。検証するには [表示] をクリックしてください。"
については、Bug 110161 (ocspdefault) -- enable OCSP by default に提出されて
いるパッチ(レビュー中)により削除されるので、Fx3 では表示されなくなると思います。




登録日: 2006年9月 25日
記事: 693

ユーザ情報を表示メッセージを送信
記事 件名:     投稿時間: 2007年6月05日(火) 01:53 引用トップに移動

カスベァ wrote:
日本語パックをちょこっと手直しすれば済む問題だと考えていました。

公式日本語版をこっそりと手直しするのであれば、Firefox 3 以降になると思います。
# 2.0.0.x 用に、こっそり手直しした日本語パックを、公式ではなく勝手に配布することはできますが、それでは使うユーザーが限られるのでほとんど意味ないし。

Firefox 2.0.x.x は freeze されているので、直そうと思ったら本家のバグでお伺いを立てる必要があります。が、正直に報告すれば、日本語版だけちょこっとというわけにはいかないでしょうし、「誤訳がありました!」などど嘘を言ったら、場所が場所だけに、大ごとになってしまうかもしれないので困ってしまいます。

ということで、いつのまにか peer 扱い(?)の私ですが、今のところは、これ以上動くつもりはありません。
# 誰かが本家に持って行って、正攻法で修正されたりするとうれしい。

以下、ほぼ余談になりますが
カスベァ wrote:
というのも、ダイアログの文言が矛盾していることに何年間も気づかれずにきた理由は、
政府の PKI に自前の証明書を使う国が日本以外にはほとんどなく、このダイアログを
見た人も少なかったからだろうと思うのです。

たぶん、そんなことはないと思います。

Firefox 2.0.0.1 で、証明書周りで regression が発生したのですが修正が 2.0.0.2 には間に合わず、一方で、フランスでは税金の申告をするのに証明書をインストールする必要があり、この regression の影響を受けるとかで、問題になりました。
Bug 370136 (Firefox 2.0.0.1 and later breaks automatic client certificate authentification) Comment #14
# Firefox 2.0.0.3 を、本来のサイクルとは別に、緊急リリースすることになった理由の 1 つはこれです。

また、長くて中身読んでないのでハズしていたらすいませんが、Including regional CA root certs は、現状では同梱されていない、特定の政府で必要となる証明書を、同梱すべきかどうかについての話なのでは?
カスベァ
ゲスト





記事 件名:     投稿時間: 2007年6月08日(金) 08:12 引用トップに移動

ご丁寧な説明をありがとうございました。
あさんが peer に加わってくだされば心強いですね。
http://wiki.mozilla.org/L10n:Localization_Teams#Japanese_.28ja.2Cja-JP.29

Bug 110161 のパッチのうち 2007-05-30 16:13 (PDT) に Trunk にチェックインされた
パートで、"証明書は OCSP で検証されていません。検証するには [表示] をクリック
してください。" が削除されました。
ちなみに、Gran Paradiso Alpha 6 から OCSP がデフォルトでオンになります。

Bug 370136 ですが、『あるウェブサイトに対して有効な証明書(#)が複数インストール
してあり、オプションで "Web サイトが証明書を要求したとき:" が "自動的に選択する"
になっていると、"あなたの証明書は %S に拒否されたため、暗号化された接続を確立でき
ませんでした。エラーコード: -12227" が出て接続できない』というもので、わたしには
今回のダイアログとは関係ないように思えるのですが...
(#この証明書は、ユーザーが身元証明のためにサイトに提示するものです。)

Including regional CA root certs は、Bugzilla にも「○○の証明書を同梱してくれ」
といった直訴があることを承知しています。
ですが、このフォーラムの性格上「日本語パックでできること」を書きました。




登録日: 2006年9月 25日
記事: 693

ユーザ情報を表示メッセージを送信
記事 件名:     投稿時間: 2007年6月20日(水) 23:29 引用トップに移動

カスベァ wrote:
あさんが peer に加わってくだされば心強いですね。

あの、そんなに期待されるほどのものではないと思うんですが…

去年の DevCon で突然 peer として名前を挙げられて、また、コミット権限を持っている人を増やしておこうかと言う話もあったんですが、結局その後は何も進展がないので、peer 扱い (?) で、「(?)」が取れないんです。

カスベァ wrote:
Bug 370136 ですが、『あるウェブサイトに対して有効な証明書(#)が複数インストール
してあり、オプションで "Web サイトが証明書を要求したとき:" が "自動的に選択する"
になっていると、"あなたの証明書は %S に拒否されたため、暗号化された接続を確立でき
ませんでした。エラーコード: -12227" が出て接続できない』というもので、わたしには
今回のダイアログとは関係ないように思えるのですが...

誤解されたようですいません。
カスベァ wrote:
政府の PKI に自前の証明書を使う国が日本以外にはほとんどなく、
についての話であって、その後の
カスベァ wrote:
このダイアログを
見た人も少なかったからだろう
についての話ではなかったのです。
カスベァ
ゲスト





記事 件名:     投稿時間: 2007年6月23日(土) 07:39 引用トップに移動

『おフランス政府もオレオレ証明書を使っていますよ』というご指摘ならば、そのもの
ズバリがあるのに、なんで Bug 370136 なのかな?っと...

Bug 368970 -- Add French Government (DCSSI) CA certificate

以下余談ですが、Bug 368970 を読むと新規に証明書を同梱してもらうハードルは既存の
証明書よりも高く、フランス政府の証明書は“不備”を指摘されてつき返されています。
日本政府の証明書にも同じ“不備”があるので、同梱を申請してもダメですね。

この証明書を手動でインポートするときのダイアログですが、"認証局を信頼する場合は...
認証ポリシーや認証実施規定に問題がないことを確認してください。" のコメントは、
もし GPKI 用語集に沿うのなら "証明書ポリシ/認証実施規程" となります。
GPKI/LGPKI では『CP(証明書ポリシ)及びCPS(認証実施規程)をそれぞれ独立した
ものとせず、CP/CPSを各省CAの認証業務に関する運営方針として位置付ける。』
とされています。
なお、"証明書ポリシ/認証実施規程" は「証明書マネージャ」-「詳細」の拡張領域に
表示されますが、公式日本語版は訳されていないので "Certificate Policies /
Certification Practice Statement に問題がないことを確認してください。" とする
のが正しいのかもしれません (^^;
カスベァ
ゲスト





記事 件名:     投稿時間: 2007年6月25日(月) 12:27 引用トップに移動

前回の「余談」を訂正します。
Bug 368970 の Comment #12 に、証明書を同梱するための審査基準を緩和して「WebTrust
または ETSI 規準に適合すればよしとする」と記されていました。
これは Microsoft の審査基準と同じレベルなので、MS が OK した証明書なら Mozilla も OK
だろうと思われます。
Mozilla CA Certificate Policy (Version 1.0) というページもありました。
http://www.mozilla.org/projects/security/certs/policy/




登録日: 2006年9月 25日
記事: 693

ユーザ情報を表示メッセージを送信
記事 件名:     投稿時間: 2007年7月14日(土) 11:36 引用トップに移動

カスベァ wrote:
『おフランス政府もオレオレ証明書を使っていますよ』というご指摘ならば、そのもの
ズバリがあるのに、なんで Bug 370136 なのかな?っと...

Bug 368970 -- Add French Government (DCSSI) CA certificate

単に私がその存在を知らなかっただけです。すいません。
dynamis



登録日: 2003年10月 05日
記事: 1743

ユーザ情報を表示メッセージを送信ウェブサイトに移動
記事 件名: 取り敢えず Beta 1 後に SSL 周り全体見直し予定です     投稿時間: 2007年11月06日(火) 01:09 引用トップに移動

SSL 周りについては EV-SSL の話も含めて色々と仕様が変わってあちこち UI が変わっているので、後でまとめて色々チェックしたいと思います。ご了承ください。
# Beta 1 直前でもまだ関連する部分が変更されていましたし。

____________________
http://www.mozilla-japan.org/jp/l10n/
http://firehacks.org/blog/




登録日: 2006年9月 25日
記事: 693

ユーザ情報を表示メッセージを送信
記事 件名: Re: 取り敢えず Beta 1 後に SSL 周り全体見直し予定です     投稿時間: 2007年11月28日(水) 21:37 引用トップに移動

dynamis wrote:
SSL 周りについては EV-SSL の話も含めて色々と仕様が変わって

EV SSL 周りがテストできるようになったのでメモ。
  • 20071122 以降の trunk が必要。(Beta 1 ではダメ)
  • 環境変数 NSS_EV_TEST_HACK=USE_PKIX が必要。(Bug 404592 Comment#2)
  • 今のところ VeriSign しか登録されていないので、認証局がそれ以外のものは普通の SSL 扱いになってしまう。

ということでスクリーンショット。
Image
指定期間中に書かれた記事を表示:      
トピックの新規投稿返信


 別のフォーラムに移る:   



次のトピックを表示
前のトピックを表示
新規トピックを投稿できます
既存トピックに返信できます
自分の記事を編集できません
自分の記事を削除できません
投票に参加できません


Powered by phpBB © 2001, 2002 phpBB Group (customized by dynamis) :: FI Theme :: All times are GMT +9:00