本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。
ボソッとつぶやく.
PKIの信頼って,いうところのTTPって,何を誰がどうやって信頼しているのだろうか.一般人はわかっているのだろうか.ブラウザがSSL証明書に警告を出さなければ信頼できる?それはTTPを信頼しているの?あなたはverisignを知っていますか?comodoを知っていますか?
もしかして,一般人にとってのPKIって,トラストアンカーはTTPである認証局になんか向いてなくて,ブラウザなんじゃ・・・.ブラウザが「うん」といえば「うん」なのか.PKIが一般的に普及しないのはこういう理由からなのだろうか.
