| 投稿者 |
メッセージ |
カスベァ
ゲスト
|
 件名: Larry の文言 投稿時間: 2008年11月22日(土) 18:28 |
  |
高木浩光@自宅の日記 2008年07月03日
“EV SSL導入に伴い生じ得る特有の脆弱性”
http://takagi-hiromitsu.jp/diary/20080703.html#p01
『EV対応Webブラウザは、SSL接続時の表示において、EVでないサーバ証明書の場合は
(いわゆるClass 3の証明書であっても)「このサイトの運営者:(運営者は不明です)」
などと表示するようになった(図1)。
このような表示を嫌う企業が増えるかもしれない。』
[図1 として Firefox 3 のスクリーンショット]
===
EV 証明書における運営者の実在認証は付加的な機能であり、通信の安全性自体は
Class 3 証明書と変わりません。
「運営者は不明です」は利用者に誤解されそうなので、変更したほうがよいのでは?
原文は identity.ownerUnknown2 = (unknown) ですから誤訳とはいえませんが、
「運営者は正体不明です」と受け取られる可能性があります。
「(この証明書は運営者の実在認証には対応していないので)unknown(とします)」
といったニュアンスが出せればよいのかな、と思います。
「このサイトの運営者:(この種類の証明書では表示されません)」
「このサイトの運営者:(EV SSL 証明書ではないため表示されません)」
「このサイトの運営者:(EV SSL 証明書で表示されます)」
今後は「EV SSL 証明書」の知名度が上がると思うので、使ってもよい用語では
ないかと思います。
ここを変更するのなら、「ページ情報」ウィンドウも変更したほうがよいかも
しれません。
pageInfo.properties
securityNoIdentity = 検証され信頼できる運営者情報はありません
以前も問題になりましたが、この文言は「通常の証明書を用いたセキュア接続」と
「通常の(暗号化されない)接続」の両方で、しかも「一般」タブと
「セキュリティ」タブの両方で使われています。
ここにも「表示」を使って「運営者の情報は表示されません」などとしてはいかが
でしょうか。
「通常の証明書を用いたセキュア接続」の場合「検証され信頼できる運営者情報は
ありません」ではなく、「証明書ビューア」を開けば記載されています。
「ページ情報」ウィンドウに表示されないだけです。 |
|
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年6月10日(水) 18:42 |
|
やっぱ、これは直したほうがよいと思うんですよね。
Larry に表示される運営者の情報は、証明書の Subject(主体者)フィールドの
CN(ドメイン名)や O(組織名)なわけで、これらは証明書ビューアを開けば確認
できるので、『運営者は不明です』は事実ではありません。
Larry では、EV SSL 証明書ならこれらを表示して、通常の SSL 証明書では表示
しないという仕様になっているだけです。
ですから、「表示しない」=「空白にする」のほうが『運営者は不明です』と表示する
よりもマシではないかと思います。
EV SSL 証明書では運営者の実在認証が厳格化(基準が共通化)されていますが、
通常の SSL 証明書を発行するときにも各認証局ごとの基準による実在認証を
行っています。
現状では、EV SSL 証明書の優位性を過度に強調しているというか、通常の
SSL 証明書はダメであるかのような印象を与えてしまいます。
この半年間に EV SSL 証明書を使うサイトが増えていますが、その証明書を検証
するためのルート認証局証明書が Firefox に同梱されていないために、通常の
SSL 証明書としか認識できないケースも散見されます。
Microsoft は最近の Windows Update で大量のルート認証局証明書を追加した
そうなので、IE では問題が起きないのでしょう。
一般ユーザーはそのような事情を知らないのですから、「この証明書はダメ」といった
印象を与えないようにする配慮も必要ではないかと思うのですが、いかがでしょうか。
# 担当者が PKI に詳しければ、釈迦に説法なんでしょうが... |
|
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年6月12日(金) 18:38 |
|
/browser/browser.properties#151
# (^^; EVSSL による認証(法人登記なども確認して実在証明) ではなく通常の
SSL 認証(ドメイン真正性のみ検証) の場合:
いいえ、『(運営者は不明です)』は、「ドメイン認証 (DV) 証明書」だけでなく
「企業認証 (OV) 証明書」でも表示されます。
「企業認証証明書」では、登記事項証明書の確認などが行われています。
GlobalSign の説明
http://jp.globalsign.com/service/ssl/
『商業登記簿謄本(登記事項証明書)や帝国データバンクによる企業情報の審査』
VeriSign の説明
http://www.verisign.co.jp/ssl/first/difference.html
『“第三者機関のデータベース登録情報(または登記事項証明書)確認”、
“ドメイン所有名義の確認”、“電話による申請者の在籍と申請意思の確認”などの
プロセスを経て、企業・組織の実在性を証明する』
「EV SSL 証明書」のときに Larry が表示する「運営者」は、前述したように
「Subject(主体者)」フィールドの「O(組織)」属性値です。
これは通常の「企業認証証明書」にも記載されていて、「EV SSL 証明書」に
特別な「運営者」フィールドがあるわけではないのです。
なお、「ドメイン認証証明書」の実例ですが、GlobalSign の「クイック認証 SSL」
を使っているサイトが見つかったので挙げておきます。
「Subject」フィールドの「O」の値が「CN」と同じになり、「OU」は
「Domain Control Validated」になっています(そういう仕様)。
SOFT ON DEMAND の「年齢認証」ページ:
https://ec.sod.co.jp/top/shop_caution.html
# このページの先に進むのかどうかは、あなた次第です! |
|
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年6月26日(金) 12:17 |
|
mozilla.dev.l10n
差出人: Zbigniew Braniecki
日付: Mon, 22 Jun 2009 21:14:17 +0200
ローカル: 2009年6月23日(火) 午前4:14
件名: Last minute opt-in party for Firefox 3.5 RC3!
The bad news is that RC3 will be pushed out tonight, so you have only
time till 9 PM UTC today to report any updated opt-in revisions.
あーあ、ですね。
Firefox 3.0 -> 3.5 では、PKI 周りを見直す時間が十分にあったと思うんですよ。
でも、そちらにやる気がなければ協力しようがないわけで...
これで終了とします。 |
|
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年7月04日(土) 18:17 |
|
やっぱり、この一件だけは食い下がることにします。
ローカライズ・チームには PKI に詳しいメンバーがいないため、
「なるべく直訳」を是としていると思います。
ところが、Larry に関してはかなりの意訳がされています。
例えば、Bugzilla で表示される英語オリジナルは次のようになります。
┏
┃ You are connected to
┃ mozilla.org
┃ which is run by
┃ (unknown)
┃ Verified by: Equifax
┃ Your connection to this web site is encrypted to
┃ prevent eavesdropping.
┃ [More Information...]
┗
これに対して、公式日本語版はこうです。
┏
┃ この Web サイトは認証されています
┃ mozilla.org
┃ このサイトの運営者:
┃ (運営者は不明です)
┃ 認証局: Equifax
┃ この Web サイトとの通信は第三者に盗み見られないよう
┃ に暗号化されています。
┃ [詳細を表示...]
┗
じつは、この「意訳」に新たな問題が生じています。
それは、自社ドメインを持たない地方銀行が、「EV SSL 証明書なら銀行名が
表示される」ことを利用し始めたことです。(今年5月以降)
一例として、常陽銀行
https://www.b2b.joyobank.chance.co.jp/b2b/jspfile/Logon.jsp
では、Larry はこんなふうになります。
┏
┃ この Web サイトは認証されています
┃ chance.co.jp
┃ このサイトの運営者:
┃ The Joyo Bank, Ltd.
┃ Mito
┃ Ibaraki, JP
┃ 認証局: VeriSign, Inc.
┃ この Web サイトとの通信は第三者に盗み見られないよう
┃ に暗号化されています。
┃ [詳細を表示...]
┗
ドメイン名は「chance.co.jp」しか表示されませんが、この証明書は
「<銀行名>.chance.co.jp」の CN でそれぞれの銀行に発行されています。
そして、元の「chance.co.jp」を運営しているのは「このサイトの運営者」に
表示される銀行ではなく、「株式会社 地銀ITソリューション」です。
つまり、『“この Web サイト”は認証されています』と『“このサイト”の
運営者:』の“この (Web) サイト”は、別のサイトなのです。
「この Web サイトは認証されています」の原文は "You are connected to"
ですから、「接続先: chance.co.jp」とか「接続先のドメイン名: chance.co.jp」
と「直訳」されていれば、違和感はちょっとだけ和らいだかと思われます。
そこで、より直訳っぽい代案も提出しておきます。
意訳しずぎたものを直訳寄りに戻すので、レビュアの負担も小さいのでは?
┏
┃ 接続先:
┃ mozilla.org
┃ 運営者:
┃ (未確認)
┃ 認証者: Equifax
┃ この Web サイトとの通信は第三者に盗み見られないよう
┃ に暗号化されています。
┃ [詳細を表示...]
┗
┏
┃ 接続先のドメイン名:
┃ mozilla.org
┃ Web サイトの運営者:
┃ (証明書を確認してください)
┃ 認証者: Equifax
┃ この Web サイトとの通信は第三者に盗み見られないよう
┃ に暗号化されています。
┃ [詳細を表示...]
┗ |
|
|
|
mar
登録日: 2004年1月 09日
記事: 552
  
|
| 件名: Re:Larry の文言 投稿時間: 2009年7月05日(日) 15:46 |
|
| カスベァ wrote: | やっぱり、この一件だけは食い下がることにします。
ローカライズ・チームには PKI に詳しいメンバーがいないため、
「なるべく直訳」を是としていると思います。 |
カスベァさん、ここまでレスなしで申し訳ないです。
PKI に詳しいメンバーがいない? というか、自信を持って手を出せる人がいないのは確かです。
dynamis さん (もしくは MJ の方へ)、この件に関して今後の計画はありますか? |
____________________
- mar -
Blog: mar's broken piece |
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年7月06日(月) 18:39 |
|
dynamis さんは Mozilla Japan の社員になったそうなので、PKI 周りを含む
JLP の品質に以前よりも大きな社会的責任を負ったと思います。
Firefox 3.5 の発表会では、速度アップばかりが強調されてセキュリティには
言及されなかったようですが、記者から例えば「Firefox をネットバンキング
やネットショッピングに使っても大丈夫ですか?」と質問されたときに、
現状では「大丈夫ですよ。UI はわたしが訳していますから、てへっ。」と、
「てへっ」を付けざるを得ないでしょう。
「てへっ」を付けなくても済むように、dynamis さんは PKI を勉強する必要に
迫られていると思います。
あるいは、「大丈夫ですよ。日本語 UI は○○に監修してもらっていますから。」
と PKI のプロ(組織)の名前を挙げられれば、それが記事になって利用者も
安心し、シェアが伸びると思います。
マーケティング的には「PKI のプロが監修している」というのが目玉になると、
わたしは考えているのですが。
Firefox の次のバージョンから日本政府のルート証明書が同梱される見込み(*)
でもあり、Firefox 3.5 の PKI 周りを整備しておくべきではなかったかと、
残念に思うのです。
PKI などのコア部分についても、mar さんと あさんが合意すれば修正できる
ようなシステムにしておかないと、dynamis さんがバスに轢かれたら公式
日本語版は止まってしまいます。
これまでの経緯を見れば明らかなように、協力者が増えることは期待薄なので
お三人さんに頑張ってもらうしかありません。
(*) GPKI は "Information confirmed complete" ですが、LGPKI は
"Information incomplete"(担当者が Bugzilla に応答しないため)
http://www.mozilla.org/projects/security/certs/pending/#Japanese%20GPKI |
|
|
|
tes
ゲスト
|
| 件名: Re:Larry の文言 投稿時間: 2009年7月13日(月) 06:15 |
|
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年7月15日(水) 18:49 |
|
tes さんのコメントを読むと『下手にいじらない方が安全か…』となっちゃいそう
なので、そうなってほしくない気持ちを書きます。
高木浩光@自宅の日記
“常陽銀行のリニューアルに期待したがその期待は裏切られた”
http://takagi-hiromitsu.jp/diary/20070408.html
“Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される”
http://takagi-hiromitsu.jp/diary/20090607.html
でも指摘されているように-
ドメイン名: joyobank.co.jp
運営者: The Joyo Bank, Ltd.
と並ぶのが理想であり、現状は地銀運営システム側のバグのようなもので、Firefox 側
が対処すべき問題ではないと思います。
でも、1行目の "You are connected to" を『この Web サイトは認証されています』
と超意訳していることが問題を大きくしているようにも思えるのです。
地銀のケースだけでなく、例えば悪意のあるサイトが「オレオレ証明書」を例外に追加
させることに成功した場合にも、この文言が表示されます。
これは
Mozilla L10N フォーラム “[notl10n]「オレオレ証明書」なのに「正しく検証」”
http://forums.firehacks.org/l10n/viewtopic.php?t=2623
とも似ていますが、あちらが『原文にもそう記されているので [notl10n] である』と
されたのとは異なり、こちらは「原文には記されていないので [l10n] である」と
いえます。
> ボランティアベースの開発
Mozilla Japan はボランティア集団ではありませんし、Firefox の前身が Netscape
だと考えれば、プロがかかわることに問題はないと思います。
Firefox の PKI 周りは Mozilla 1.x(= Netscape 7.x)から進化したもので、
コア部分の UI には当時のコードがたくさん残っています。
そして、Netscape 7.0 の各国語リソースは Mozilla.org に貢献されて、lxr で閲覧
したり cvs でチェックアウトしたりできるようになっていました。
(現在は削除されています。)
Netscape 7 の「証明書ビューア」は、dynamis さんが『(^^; CertDump.+ は下手に
いじらない方が安全か…』として放置したものも訳されていますから、PKI 周りの訳は
Netscape 7 よりも後退したと、わたしは考えています。 |
|
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年8月14日(金) 08:16 |
|
実は、水面下で PKI のプロによるチェックが進行中!
... ならいいんですがねぇ。 |
|
|
|
カスベァ
ゲスト
|
| 件名: 投稿時間: 2009年8月30日(日) 18:02 |
|
別件を調べていたら、こんなものが見つかりました。
当フォーラムの-
"Firefox Development JLP (1.5.x.x リリース用) へのフィードバック"
2005-09-11 に kiyo さんから-
『証明書マネージャのダイアログ
一覧表の中のセキュリティデバイスと用途ですが、見出しは日本語ですが明細
の表示が英語です。
セキュリティデバイスはどう訳せば良いのかわかりませんが、用途はおそらく
日本語が普通(というより他のソフトは日本語表示)だと思います。』
http://forums.firehacks.org/l10n/viewtopic.php?p=3971#3971
という指摘があり、2005-10-10 の dynamis さんの返答には-
『スミマセン、証明書回り自信がないので慌てて下手に訳すより良いだろうと、
一部まとめて訳さずに残しています (pipnss.properties)。
# pipnss.properties の英語で残している部分を訳してくれる人募集』
http://forums.firehacks.org/l10n/viewtopic.php?p=4082#4082
と書かれています。 (『# pipnss.properties ~ 募集』は赤字。)
2008-04-22 "証明書ビューア☆たたき台"
http://forums.firehacks.org/l10n/viewtopic.php?t=2608
が期せずして『pipnss.properties の英語で残している部分を訳し』たものに
なっていました。
謙虚なわたしは「もちろん、採用されてもされなくても異存はありません。」
と書きましたが、dynamis さんが一言も発言しないまま尻切れトンボになって
います。
『pipnss.properties の英語で残している部分を訳してくれる人募集』でも、
提供されたものが適切に訳されているのかどうかをチームのだれかが判断
しなければ、チェックインはできませんよね?
つまり、チームのだれかが判断できる程度に PKI を勉強していなくちゃ
いけない、あるいは PKI のプロに監修してもらわなくちゃいけない、と
わたしが繰り返し言い続けている理由はそこにあるのです。 |
|
|
|
|
|
