この記事は過去のUPKIイニシアティブに掲載されていたものです

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-odcert:9] Re: Mac OS X 10.3 とルート証明書?



西村です。
NIIの者の発言ばかりですみません。

私のおぼろげな記憶で補足しますと、Safari 3になったのが2007年11月ご
ろのMac OS X 10.4.11で、10.4であってもソフトウェア・アップデートを
適切に行なっていなければこの問題に該当してしまうのではないかと思っ
ています。

> Apple 自身サポートを打ち切っているようなので止むを得ない面もある
> かと思いますが、VeriSign からの乗り換えという観点からするとサー
> ビス低下になってしまうので悩ましいところです。

「問題なく見えるようにしてくれ」という利用者からの願いは切実なもの
を感じますが、ブラウザに脆弱性が残っている状態ではそこを解決しても
どうにもならない、というのが率直な印象です。
最近の例で言うと多くの古いブラウザはNULL文字入りの証明書を適切に検
証できませんので、「問題なく見え」てもそれが真正のサーバであると確
信できないことになります。
# もちろん、NULL文字入りの証明書を認証局から取得するのは現状では困
# 難であるはずなので、いわゆるオレオレ証明書と同等だとは言いません
# が。

上記を鑑みても、なかなかこのような利用者に何かしてもらうよう説得
するのは難しいところですが、私なら代替ブラウザの使用をお勧めしま
す。
代替ブラウザは…、2009年9月29日に出たCamino 1.6.10がMac OS X 
10.3.9をサポートしているようですが、今後1.6系のサポートは行なわな
いことが言明されていました。
http://caminobrowser.org/download/
Operaは動きそうですね。
http://www.opera.com/supoprt/kb/view/793/
もちろん、古いOSを使っていることによる脆弱性がすべてふさがれる
(exploit可能でない)と言い切ることはできませんので、その分はリ
スクとして認識していただく必要があります。

他にMac OS X 10.3で動く現役のブラウザの情報をお持ちの方がいまし
たらお教えください。


Mitsuru Ogino さんは書きました:
> 椙山女学園の荻野です。
> 
> Mac OS X 10.3 Panther のパソコンでアクセスしてくる方がいる場合、皆さまは
> どのように対応されているか、お教えいただけないでしょうか。
> 
> Mac OS X 10.4 は 2005年4月29日リリースのようですので、2005年初頭に購入し
> たままの Mac までが該当しますが、まだまだ現役のようです。この OS には
> Security Communication RootCA1 のルート証明書が入っていないようです。ま
> た Safari はアップデートしても Safari 1.x にしかならず、
> 
>   https://upki-portal.nii.ac.jp/docs/odcert/howto/intro
> 
> からすれば対象外となっていますが、だからといってパソコンを買い換えてくだ
> さいとは言えません。(最新の Mac OS X 10.6 は PowerPC Mac に対応しておら
> ず、その前のバージョン 10.5 は Apple Store では見つけられませんでした)
> 
> 単にルート証明書をインストールすれば良いという問題であれば、
> 
>   http://www.secomtrust.net/service/ninsyo/cer/scrootca1.txt
> 
> のインストール手順書を作成すれば良いのでしょうか。手元に 10.3 のマシンが
> ないので悩ましいのですが。
> 
> 
> OS の管理する証明書を使用しないものとしては Firefox がありますが、こちら
> も 3.0 以降、Mac OS X 10.3 にインストールできなくなっています。
> 
> Apple 自身サポートを打ち切っているようなので止むを得ない面もあるかと思い
> ますが、VeriSign からの乗り換えという観点からするとサービス低下になって
> しまうので悩ましいところです。
> 
> 
> 旧プロジェクトの Security Communication RootCA1 中間証明書を導入するとい
> う反則業で乗り切れないものかとちょっと悩みます。
> 
>> s:/C=JP/L=Academe2/O=Sugiyama Jogakuen University/OU=smap/CN=gear.sugiyama-u.ac.jp
>> i:/C=JP/L=Academe2/O=National Institute of Informatics/OU=UPKI/OU=NII Open Domain CA - G2
>     ↓
>> s:/C=JP/L=Academe2/O=National Institute of Informatics/OU=UPKI/OU=NII Open Domain CA - G2
>> i:/C=JP/O=SECOM Trust.net/OU=Security Communication RootCA1
>     ↓
>> s:/C=JP/O=SECOM Trust.net/OU=Security Communication RootCA1
>> i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 1 Policy Validation Authority/CN=http://www.valicert.com//xxxxxxxxxxxxxxxxx@xxxxxxxxxxxx

-- 
西村健
国立情報学研究所 TEL:03-4212-2720