Governo da Coreia do Sul (GPKI) tenta novamente ser incluído no repositório de certificados raiz do Firefox
(bugzilla.mozilla.org)O certificado raiz GPKI era usado principalmente pelo governo para emitir certificados para domínios de vários sites públicos, incluindo o TLD .go.kr. (Note o uso no passado: atualmente, os sites do governo recebem certificados de diferentes fornecedores e oferecem serviços HTTPS dessa forma)
Diferentemente de outros navegadores, o Firefox mantém sua própria lista de certificados raiz e não segue a lista de certificados do sistema operacional nas conexões TLS. Por exemplo, no Windows, o certificado GPKI já vem pré-instalado, mas o Firefox não o lê. (No entanto, hoje em dia, isso pode ser alterado facilmente com uma única caixa de seleção na aba de segurança da página de configurações about:config)
Um dos principais motivos apresentados para a recusa do registro do certificado raiz GPKI é que, no passado, foi revelado que o governo havia emitido certificados extremamente abrangentes como *.or.kr, *.ac.kr e outros semelhantes.
No entanto, a tentativa de registro não é barrada apenas por esse único caso de emissão praticamente ilimitada; ela também vem sendo adiada ou rejeitada porque o governo não conseguiu cumprir em tempo hábil todos os rigorosos procedimentos de confiança exigidos pela Mozilla, como resultados de auditoria externa, método de verificação da lista de revogação de certificados (CRL) e método de validação da validade dos certificados (OCSP).
Ou então, mesmo quando isso foi feito dentro do prazo, houve casos em que o próprio resultado apresentou problemas, como quando os certificados do Ministério do Interior e Segurança e do Ministério da Educação foram auditados pela mesma empresa.
Ao procurar a questão no Bugzilla, um ponto curioso é que, como as tentativas de registro continuam há muitos anos, os nomes dos funcionários responsáveis e dos órgãos aos quais pertencem vão mudando de ano para ano, por motivos como a rotatividade de cargos no funcionalismo e reestruturações do governo decorrentes de mudanças de administração.
7 comentários
De qualquer forma, não há planos de instalar certificados próprios em sites públicos externos.
Não damos conta disso.
Só que isso acaba, sem querer, aumentando demais a dependência do Chrome.
Na rede interna, de qualquer jeito, os certificados externos também não são validados do mesmo jeito
Deixei minha opinião pessoal no bugzilla, mas ainda parece que há um longo caminho pela frente.
No caso de CRL/OCSP, eles deveriam estar acessíveis o tempo todo para que vários serviços pudessem verificar com frequência,
mas existe um bug em que, a partir de IPs no exterior, a conexão só funciona depois de várias tentativas de acesso.
Provavelmente o problema está no firewall ou no WAF.
(Pelos comentários de outras pessoas, parece que algo semelhante também acontece com IPs domésticos..)
Li tudo em ordem, начиная pelo conteúdo antigo, e o local que auditou o certificado da CA é o mesmo que o auditou em 2016-2017..
Se já houve esse tipo de problema antes, seria de se esperar que tivessem trocado a empresa de auditoria há muito tempo, então é um pouco desconcertante ver que continuam com a mesma..
Apesar de vários esforços, os documentos em inglês ainda mostram muitos pequenos erros lógicos e de digitação,
e também parece necessário recriar os próprios certificados, já que as normas padrão foram atualizadas.
(Parece que eles atualizam o documento CPS com frequência, então, se conseguem fazer esse nível de atualização, imagino que também consigam refazer os certificados.)
Os servidores públicos responsáveis provavelmente também estão se esforçando bastante,
mas, como já cometeram um erro no passado, acho inevitável que recebam críticas.
Dizem que fazem auditorias anuais conforme as normas, mas o site de certificação WebTrust ainda está parado em 2023.
Fica a dúvida se as auditorias de 2024 e 2025 foram realmente realizadas de forma adequada.
https://www.gpki.go.kr/pds/WebTrustAction.action
O documento CPS também segue a mesma linha, com cláusulas dizendo que ele pode ser alterado com frequência a qualquer momento
e que, por seguir a lei, não haveria responsabilidade descrita no documento.
Há muitos pontos ambíguos, então, mesmo ignorando completamente os acontecimentos do passado, a credibilidade acaba caindo.
Por que eles são tão burros assim? (x)
Eles provavelmente não são burros, então por que agem desse jeito? (o)
Ficar dizendo, vendo só um fragmento, que são idiotas ou burrões
significa uma de duas coisas: ou você ainda não teve a experiência de encontrar na vida real alguém que esconde a própria força e levar uma lição, ou teve sorte e nunca encontrou alguém assim.
Não diga esse tipo de coisa levianamente.
Não é que faltem pessoas competentes; é a organização que as mantém na coleira, por assim dizer. Se não é uma ou duas pessoas, mas dezenas de milhares ou centenas de milhares repetindo o mesmo problema, então isso não é um problema individual, e sim um problema do sistema.
Pelo visto você é esperto a ponto de nem precisar virar funcionário público.