どさにっき IoT 〜2016年10月下旬〜

by やまや
<< = >>

2016年10月21日(金)

GlobalSign の件、つづき

_ たしかに RFC としては CRLに失効理由として一時停止という状態が定義されていて、 OCSPでは一時停止状態でも恒久失効と同じに扱うと定義されている。

_ が、各 OS、ブラウザにインストールされている「信頼されるルート CA」は、これだけでなくさらに CA/Browser Forum で策定される基準にしたがっている。で、その baseline requirements

4.9.13. Circumstances for Suspension
The Repository MUST NOT include entries that indicate that a Certificate is suspended.
と規定されてるそうで。RFC 的には一時停止状態ってのもありうるけど、まっとうな CA ではそういうのは許さん、恒久的な失効しかありえん、と。

_ ということで、OCSP で失効させたものを復活させたという globalsign の対処は妥当だったのかどうかという疑念が再発するわけだけど、わしみたいな素人が思いつくような疑問は当然のように 識者たちでも議論が始まっていた。うん、どうなるんかね。

Comodo もやらかした

_ さらに globalsign の件とはまったく関係なく、 Comodo SSL もやらかしたようで。証明書の発行プロセス中のドメイン所有者の確認に問題があり、正しくない相手に証明書を発行してしまったと。で、その理由が「OCR の読み取りエラーで l と 1 を間違えた」というナナメウエすぎるものでお口ぽかーん。


<< = >>
やまや