DigiCert: Bugzillaでの議論を抑え込むための法的措置を示唆

 (bugzilla.mozilla.org)
1 ポイント 投稿者 GN⁺ 2025-02-26 | 1件のコメント | WhatsAppで共有

DigiCertの法的措置の示唆

  • 背景: DigiCertは、Bugzillaでの議論を法的措置によって抑え込もうとする動きを見せている。Sectigoの最高コンプライアンス責任者がBugzillaに投稿した内容について、DigiCertの弁護士から警告を受けた。

  • DigiCertの立場: DigiCertは、Sectigoの特定の従業員に否定的な発言をやめるよう求め、それによって法的措置を避けたいとしている。DigiCertは、そのような発言が組織的な計画の一部ではないことを望み、Sectigoが適切な措置を取ることを期待している。

  • Sectigoの反応: SectigoはDigiCertの主張に反論し、当該発言は単なる意見表明にすぎず、法的に問題になるものではないと主張している。また、このような議論はPKIコミュニティの自主規制に不可欠であることを強調している。

  • PKIコミュニティの重要性: PKIコミュニティは、インターネット取引の安全性を高め、安全なサイトをユーザーに直感的に示すためのベストプラクティスを定義するうえで重要な役割を果たしている。そのためには、開かれた自由な議論が必要である。

  • DigiCertの追加説明: DigiCertは、公開的で率直な対話を促進する意図で書簡を送ったと説明し、競合他社間の議論は公正で事実に基づくべきだと強調している。

  • 結論: DigiCertとSectigoはいずれもPKIコミュニティにおける開かれた率直な議論の重要性を認めているが、法的威嚇がこうした議論を萎縮させる可能性があるとの懸念が提起されている。PKIコミュニティの自主規制には、批判的な問いかけと議論が不可欠である。

関連記事

1件のコメント

 
GN⁺ 2025-02-26
Hacker Newsの意見
  • DigiCertには、Baseline Requirementsに明記された期限を何度も過ぎてから証明書を失効させた事例がある
    • 最近の事例としては、特定の顧客を満足させるために失効を遅らせたケースや、裁判所の一時的差止命令(TRO)によって失効が遅れたケースがある
  • SectigoのTim Callanが、DigiCertの遅延について公然と批判した
    • DigiCertは顧客に対して失効ポリシーを明確にし、顧客が期限内に証明書を置き換えられるようにすべきだという意見がある
  • DigiCertの失効遅延問題について、複数の機関が懸念を示している
    • 法的脅しで問題を解決しようとする試みは不適切であり、DigiCertは大きな反発に直面する可能性がある
  • Web PKIドラマはいつも驚きを与える
    • CAを信頼するかどうかを決める機関は、CA事業を簡単に解体できる
    • DigiCertがこのゲームで敗れるなら、インターネット最大のCAとして大きな混乱を引き起こしかねない
  • DigiCertの法的対応は、かえって彼らにさらに大きな損害を与える可能性がある
  • Bugzillaで言及された事例
    • DNSレコードでアンダースコアを使わなかったことで、セキュリティ上重要な前提を破った事件がある
    • これはセキュリティに致命的な事件と見なされている
  • DigiCertの法的脅しは、Web PKIの貢献者たちの発言を抑圧しようとする試みに見える
    • これは組織の目的や目標に反する行動であり、DigiCertに関わるあらゆるものを直ちに撤回すべきだという意見がある
  • DigiCertの検証バグを引き起こした人物は、すでに辞任している
    • Sectigo側の人物は、より多くの回答を得るために、そのバグがクローズされないようにしていた
  • 法的問題には言及しないことが重要だ
    • 法務部門同士で争わせるようにする必要がある
  • DigiCertが裁判所命令に異議を申し立てなかった理由について疑問がある
    • 特定の顧客に特別な条件を提供していた可能性がある
  • DigiCertの対応は公開されており、彼らの意図は公開かつ誠実な対話を促進することにあると主張している
  • DigiCertの法的対応は判断ミスだという意見がある
    • Sectigoはこの問題を公然と扱っても損をしていない
  • 認証局はインターネット利用者から大きな信頼を受けており、それに見合う責任がある
    • Baseline Requirementsは最低限の基準であり、これを満たせなければ信頼を受ける資格はない
    • TROによって約70件の証明書を失効できなかったのは理解できるが、その他の失効失敗は許容できない