GPKIよ、安らかに眠れ(タイトルで煽るスタイル) - yumetodoの旅とプログラミングとかの記録

はじめに

yumetodo.hateblo.jp

の記事を書いたyumetodoです。やっぱりGPKIよくわかってません(ぇ。

結論

自前認証局によるGPKIは安らかな眠りにつきそうです。

セコムトラストシステムズさん、あとは任せた。

2月のGPKI騒動は結局何だったか

上の記事を書いたのが2月のことです。

2018年3月1日木曜日 1時15分06秒 UTC+9 Elic Mill

So, to be clear, you would only revoke misissued certificates if required to do so by Mozilla -- not because they represent control failures, or in order to demonstrate to other root programs your CA's responsiveness and the seriousness with which you take control failures.

2018年3月1日木曜日 1時26分58秒 UTC+9 Wayne Thayer

My comment was intended to point out that you are violating BR section 4.9.1.1(9) by not revoking these certificates. My comments were not intended to imply that revoking these certificates would change Mozilla's decision to deny this inclusion request.

「へー、Mozillaに言われたから直すんだ。CAとしての責任を果たすためじゃなくて。」とか「BR違反しているから直してからおととい来やがれといったのであって、当該証明書を失効させたら受け入れるという話じゃない」などと、日本政府のGPKI Root証明書が木っ端微塵に粉砕されたのでした。

つまり、GPKIは日本政府がバックに付いているものの、世界から見放されるほどの 雑な運用で信用に値しないただのオレオレ証明書 に成り下がったわけです。

さらにGPKIの公開鍵を安全に入手する方法が官報を見るしかないというおそまつさ(Webページでも配っているが安全ではない)

お仲間であるLGPKIはどうなったか

LGPKIというものもあったわけですが、こいつは、自前の認証機関を持つのを諦めてセコムトラストシステムズに外注するようになりました。

[PDF注意]総合行政ネットワーク No. 185 １第四次LGPKI移行の背景とその概要

四次LGPKIは、平成28年度に策定した第四次総合行政ネットワーク整備計画書において、外部認証局を活用することとしており、「地方公共団体組織認証基盤の構築及び運用業務」に係る調達の結果、認証局運営事業者をセコムトラストシステムズ（株）とすることに決定しました。

これまで、自前で運用していた現行LGPKIとは異なり、外部認証局のソリューションを活用して運用経費を低減しつつ、かつ、セキュリティは現状の水準を維持することを実現するとともに、利便性の向上を両立するため、第四次 LGPKIの構築を開始しました。

GPKIは大変なことになってるけど、一方LGPKIはセコムすることになって、自治体にはインターネット側でも使いやすくなって朗報。 / “総合行政ネットワーク No. 185 １第四次LGPKI移行の背景とその概要　第四次L…” https://t.co/36TNZprspT
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) March 20, 2018

こっちは真っ当な路線になったな。

GPKIな証明書を利用していたWebサイトはどうなった

例えばCRYPTRECは

CRYPTREC | トップページ

https://t.co/MuohWCRnAH にhttpsで繋ごうとすると失敗するの嫌すぎる……。なお「SSL/TLS暗号設定ガイドライン」の第二版を読みにいって気付きました orz
— Kazuo Moriwaka (@moriwaka) 2018年6月1日

最近更新したGPKIの証明書を見ると https://t.co/J8DYsMrdi6 LGPKIと同様の正常化？するのではないかと淡い期待を持って見ています(ごめんなさい島岡さん）。 https://t.co/jlwCng5hKf も再来週expireなので同様に正常化していただきたいものです。
— Shigeki Ohtsu (@jovi0608) 2018年6月5日

CRYPTREC https://t.co/jlwCngmT8P もやっとGPKIからセコムさんに変わりました。 https://t.co/MfMyimQLJO でもSSLLabsのスコアはB。SSL/TLS暗号設定ガイドラインを守りましょうよ。 pic.twitter.com/WTN11kvoGk
— Shigeki Ohtsu (@jovi0608) 2018年6月14日

GPKIはどうなるべきか

WebTrust for BRに準拠してない運用してるGPKIよりもLet's Encryptの方がCAとしてマシな気がするし、そもそもLet's Encrypt使わない場合でもEVな証明書使わない気がするんだよね、そういうサイト。
— Makoto Kato ︎︎ (@makoto_kato) 2018年6月5日

文科省外局のスポーツ庁の広報ページ https://t.co/qmRFNAsEYY でも Let's Encrypt のDV証明書を利用しているんですが… 他の https://t.co/lcSQE0omPH ドメインでちらほら。httpしか提供してないサイトよりよっぽどましかと。https://t.co/vFqWfZMJBT
— Shigeki Ohtsu (@jovi0608) 2018年6月5日

そ、そろそろGPKIは部署ごとなかったことに・・・・したい・・・ですよねぇ。。
— himorin@9/8-9チャイナフェス2018 (@himorin) 2018年6月5日

GPKIを使う理由もない。結果は同じ。https://t.co/HyXLtRigZs
— Hiromitsu Takagi (@HiromitsuTakagi) 2018年6月6日

私は素人だけど、GPKIは国が「どうして民間に証明してもらわなきゃならないんだ！」というメンツのみで立ち上げたものなので（しかもどうせブラウザメーカーに頭下げないといけない）、SECOMでもなんでも、民間から証明書買ったほうが良さそうですよね。
さすがに、そうなるんじゃないですかね……。 https://t.co/v4cvfXBUNI
— 弁護士吉峯耕平（カンママル撲滅委員会） (@kyoshimine) 2018年6月6日

もう、自前認証局によるGPKIはどう考えても運用不可能で、安らかに眠る一択。

crt.sh

によれば、5月20日にLGPIK同様、セコムトラストシステムズに署名してもらったGPKIの鍵が出ているので、そういう方向に舵を切るんだろう。・・・て解釈でいいんですよね？

IIJ TechnicalNIGHT vol.5

IIJ TechnicalNIGHT vol.5
では、いえないGPKI、LGPKIの話をしている。
ツイッターには書かないでというコメントがついている。
— picoGalois＠電子クラブ (@DenshiClub) 2018年6月28日

ん、IIJ TechnicalNIGHT vol.5？なにそれ。

iijlive.ipcasting.jp

●セッション1　最近改訂されたSSL/TLS暗号設定ガイドラインを紐解く
（講演者）IIJ セキュリティ本部セキュリティ情報統括室須賀祐治
（紹介文）
先月、CRYPTRECによるSSL/TLS暗号設定ガイドラインの改定が3年ぶりに行なわれました。
本セッションでは、このガイドラインを読み解くために必要となる知識や技術背景を易しく解説します。