PKIDay 2015

Hiroki KUNII @hkuni

Mobileブラウザは失効検証してない。憤りを感じる。#pkiday2015

𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

モバイルブラウザはCRL、OCSP検証しない。大丈夫なのかな？ #pkiday2015

西口昌宏 @mahbo

#PKIDay2015 「モバイルブラウザは失効調べない」困るなぁ

西口昌宏 @mahbo

#PKIDay2015 CRLは仕方ないとしてもOCSPは調べようよ

かいと（kaito834） @kaito834

ブラウザ実装の今後: モバイルブラウザは証明書の失効検証を実施していない。有効期限切れの場合には警告画面を表示する。 #pkiday2015

西口昌宏 @mahbo

#PKIDay2015 「PKI以外の仕組みも使って正当性を調べる」のは良いんだけど、どこでどういった理由でおかしいと判断しているのかというのが分かりにくい。

Hiroki KUNII @hkuni

非PKI技術による多層防御。保管技術としてCertificate TransparencyやSmart Screen。最近の流れとしてある。#pkiday2015

かいと（kaito834） @kaito834

非PKI技術による補完関係: Certificate Transparency/SmartScreenなど。すべての技術を搭載することは難しいが、標準化されている技術を採用していくべきではないか。 #pkiday2015

西口昌宏 @mahbo

#PKIDay2015 Certificate Transparencyはやっぱり割愛 (^^;

かいと（kaito834） @kaito834

非PKI技術による補完関係: Certificate Transparency は公開監査として成立するのか。別枠で議論してから、またこのような場で発表したい #pkiday2015

𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

その手のエラー表示とかのUIは差別化は不要なんじゃないかなあ。それって実装側の都合だし #pkiday2015

西口昌宏 @mahbo

#PKIDay2015 SSL/TLSだけでなく、たとえばDANEやDNSSEC、そのほかの情報も含めて信頼できるかどうかを判断できるようになるのがよいとは思うけど、メッセージが分かりにくいのは何とかしてほしい

かいと（kaito834） @kaito834

何人か警告画面などのUIの標準化に取り組んでいるが、中々難しい。IETFはプロトコルの標準化には取り組む場であるため、一蹴される。ブラウザ間で取り組もうとすると、差別化できないとの意見が挙がる #pkiday2015

西口昌宏 @mahbo

#PKIDay2015 警告の表示の仕方で差別化って、アプリケーションごとに違っていたらユーザが混乱するだけだろう。それを言い出したらOSでユーザI/Fのガイドラインがあることも否定されてしまうよ。

かいと（kaito834） @kaito834

CA Browser Forumの情報をウォッチしていれば、UIの取り組みが分ければ理想的。現状、CA Browser Forumにはどこまで影響力があるのか。 #pkiday2015

かいと（kaito834） @kaito834

残念ながらここで離脱 #pkiday2015

Hiroki KUNII @hkuni

IoT/M2Mの鍵管理。セキュリティはまだまだ未熟で出遅れている感がある。ネットワークアップデートは必須になりそう。しかし製品内で複数社が製造に関わっている場合の責任分解点が問題として指摘されている。#PKIDay2015

西口昌宏 @mahbo

#PKIDay2015 一つの商品を複数のベンダーの複数のライブラリで構成されていたとき、その中の一つの部品のライブラリがどこかのオープンソースが使われていたとして、それに脆弱性があったとして誰がそれを更新する責任を負えるのか。現実的には部品メーカーにそれを負わせるのは難しいと。

かいと（kaito834） @kaito834

楽しい時間をありがとうございました！ #pkiday2015

kjur @kjur

PKI Day 2015 パネル「SSL/TLSの実装が進むべき道を語ろう」で、私のパートの補足資料を掲載頂きました。 よろしければご覧ください。 jnsa.org/seminar/pki-da… #pkiday2015 触れ損なったRFC 5698 DSSCもあります。