search

petercpg / moztw-web

Automatically exported from code.google.com/p/moztw-web
0 stars 0 forks source link

在 Mozilla 軟體加上 GCA 台灣政府憑證 #89

Closed GoogleCodeExporter closed 9 years ago

GoogleCodeExporter commented 9 years ago 
方法: https://wiki.mozilla.org/CA:Root_Certificate_Requests
請 tobby 處理

Original issue reported on code.google.com by timdr...@gmail.com on 3 Feb 2009 at 6:00

GoogleCodeExporter commented 9 years ago 
轉載自回覆:
Mozilla , Micro$oft 
等其他第3方軟體,於情於理都不該且不可能將 GCA 加入到 CA 
Root
全台灣唯一有資格加入 CA Root 的只有 GRCA 一個機構而已
GRCA負責本基礎建設領域內外憑證機構間的交互認證,同時也�
��過了 AICPA/CICA WebTrust for
CAs稽核標章。這些交互認証(或是前面講的中繼憑證,應該都�
��指Intermediate CA)機構有 GCA
HCA MOICA MOEACA GTestCA 和 XCA 
等,這些機構才是真正實發憑證的機構。
所以Mozilla , Micro$oft 
等其他第3方軟體,於情於理都不該且不可能將 GCA 加入到 CA 
Root
的理由如下:

      * GCA HCA MOICA MOEACA GTestCA 和 XCA 等交互機構全部沒有通過 AICPA/CICA
WebTrust for CAs稽核標章 
或其他國際機構授權與認証,他們放發憑證的權利來自於 
GRCA ,只
有 GRCA 有權放發憑證,修改儲存庫。
      * 僅有 GRCA 遵守基礎建設憑證政策(Certificate Policy for the Government Public
Key Infrastructure)之保證等級第四級運作。
      * 若僅加入 GCA,那 HCA MOICA MOEACA GTestCA 和 XCA 呢?

所以我還沒提報這個問題到 bugzilla 上。

我們已經釐清整個問題出在 GRCA 
沒有繼承他的子儲存庫(即其核准之下級交互憑證分發機構)
了,Mozilla 
中所包含的是GRCA本身之自簽憑證,其網站僅陳述自己機構有�
��授權於分發交互憑
證,並無明文說明憑證認証檔的繼承,本人也不同意某軟擅��
�將非 AICPA/CICA WebTrust for
CAs之 CA Root 加入自其軟體中。自行將 GCA 加入 CA Root 
的行為也沒有人會負責

我們沒有推卸責任,我們會儘快和 GRCA 
連絡,我想他們會卡在 GPKI...
Bug Tracing

如有網友在網站憑證這方面熟悉,請儘快連絡我們!!

Original comment by tobbymai...@gmail.com on 4 Feb 2009 at 5:18

GoogleCodeExporter commented 9 years ago 
已接洽工程人員
目前在vista上面好像是正常的
其他的os都不正常
工程人員表示他們有做繼承

有人清楚加入 grca 為mozilla的ca root時是我們去接洽的嗎??

Original comment by tobbymai...@gmail.com on 4 Feb 2009 at 9:33

GoogleCodeExporter commented 9 years ago 
> 有人清楚加入 grca 為mozilla的ca root時是我們去接洽的嗎??
這個要找 bug 或是去 source code 找變更紀錄來查是哪個 bug
(在這裡問只有 CC 的人會看到 沒什麼用 ^^:)

Original comment by timdr...@gmail.com on 4 Feb 2009 at 9:51

GoogleCodeExporter commented 9 years ago 
https://bugzilla.mozilla.org/show_bug.cgi?id=274106
https://bugzilla.mozilla.org/show_bug.cgi?id=341022

Original comment by alica...@gmail.com on 5 Feb 2009 at 3:15

GoogleCodeExporter commented 9 years ago 
Per discussion with Tobby elsewhere, modify summary to exclude the word "root."

(Clarify: GRCA is the ultimate root CA, GCA is not but can be authorized by 
GRCA for
some reason.)

Original comment by timdr...@gmail.com on 5 Feb 2009 at 3:50

GoogleCodeExporter commented 9 years ago 
題外話,關於GRCA工程人員的聯絡方式能夠透露一下嗎?先前�
��過GRCA網站上的eGov客服信箱想
探詢於Opera內建GRCA根憑證的事情,不過不得要領;能夠直接��
�繫工程人員的話應該比較容易說明。

Original comment by alica...@gmail.com on 6 Feb 2009 at 10:50

GoogleCodeExporter commented 9 years ago 
電話 : 02-7738-8066

可是好像只查的到 GCA 的憑證 ... 複雜...

Original comment by tobbymai...@gmail.com on 6 Feb 2009 at 9:52

GoogleCodeExporter commented 9 years ago 
> 工程人員表示他們有做繼承
所以是 renew Fx 裡面的 GRCA 檔案就可以成功認證 GCA 了?
tobby 你可以測試一下,確定就可以發 bug 啦~

Original comment by timdr...@gmail.com on 14 Feb 2009 at 3:57

GoogleCodeExporter commented 9 years ago 
結果還是GCA的客服電話啊,講了半天(還碰到考選部報名網��
�掛掉沒得舉例測試,有沒有那麼剛好?)也只
能說"請轉系統人員:Firefox和Opera無內建GCA/GRCA等公開憑證"而已
,有沒有辦法確實傳達到也只能隨緣
了。

各位有更直接的管道的話,還請不吝協助轉達給GCA/GRCA知道…
…

Original comment by alica...@gmail.com on 19 Feb 2009 at 8:44

GoogleCodeExporter commented 9 years ago 
我突然想到這是研考會的下屬單位… 
試試丟個信過去看看能不能直接取得連繫。
會 CC 給 Tobby 一份、有回應的話可以繼續接手這樣

Original comment by bobc...@gmail.com on 6 Mar 2009 at 12:54

GoogleCodeExporter commented 9 years ago 
發現我認識的人轉單位了 orz, sorry

Original comment by bobc...@gmail.com on 6 Mar 2009 at 12:58

GoogleCodeExporter commented 9 years ago 
anything new?

Original comment by bobc...@gmail.com on 19 Mar 2009 at 9:27

GoogleCodeExporter commented 9 years ago 
附帶介紹一下新用到的GCA加密網站:行政院消保會消費爭議��
�上申訴/查詢
https://back.cpc.gov.tw/backend/FrontQueryEvent/first.htm
https://back.cpc.gov.tw/backend/FrontQueryEvent/QueryEvent.aspx
免得上回範例網站故障的囧事重演……

Original comment by alica...@gmail.com on 2 Apr 2009 at 8:12

GoogleCodeExporter commented 9 years ago 
Tobby: anything new?

Original comment by bobc...@gmail.com on 6 Aug 2009 at 5:38

GoogleCodeExporter commented 9 years ago 
Sent to Frank Hecker, the owner on "Bug274106 -  Add GRCA root CA certificate" 
at
bugzilla
--------------------------------------------------------------------------------
--
Hello, Frank =)

  I'm an assigned person from MozTW in charge that some certificated websites can't
be recognized.

The following websites are not able to recognize as a trusted cert by "Taiwan 
GRCA".

    * https://back.cpc.gov.tw/backend/FrontQueryEvent/first.htm
    * https://register.moex.gov.tw/
    * https://back.cpc.gov.tw/backend/FrontQueryEvent/QueryEvent.aspx

Originally, I thought that it is caused by that GRCA doesn't contain 
certificates
given out by GCA or other sub-organizations.
But finaly I find out that the GRCA's self-signed root CA certificate you 
attached on
Bug 274106 - Add GRCA root CA certificate isn't the one published on GRCA's 
official
website. The one you attached is established from 2002 but that on official 
website
is from 2003. I guess this is the reason and after added its new self-signed
certificate by hand, they all does work.Therefore, I would like to change the
build-in "Taiwan GRCA" 's self-signed root CA certificate to the new one
(http://grca.nat.gov.tw/repository/Certs/GRCA.cer), but don't know how. Should 
I just
directly propose a new Bug report?

Original comment by tobbymai...@gmail.com on 7 Aug 2009 at 6:22

GoogleCodeExporter commented 9 years ago 
Received the reply :-)
---------------------------------------
Thank you for your report. We would be happy to consider adding a new
root for GRCA. However our policy is that the CA itself needs to make
the request (because we want to have the CA's permission to include
its root).

I've copied Kathleen Wilson on this reply; Kathleen is responsible for
gathering information on CAs and evaluating their requests for
including roots. Kathleen, based on bug 274106 the GRCA PKI is
operated by Chunghwa Telecom. Didn't we recently approve a separate
request from Chunghwa Telecom? If so, could you please contact the
Chunghwa Telecom representative to ask about this new GRCA root, and
open up a new bug if needed?

Original comment by tobbymai...@gmail.com on 7 Aug 2009 at 3:44

GoogleCodeExporter commented 9 years ago 
Sent to GRCA:
----------------------------------
您好:
  我是 MozTW.org 的社群成員,被指派處理關於 GRCA 這個 CA 
Root 近來發出之憑證無法被
Mozilla Firefox 信任的問題。
  事實上,這個問題從下列幾個網站開始被發現:

    *https://register.moex.gov.tw/

    *https://back.cpc.gov.tw/backend/FrontQueryEvent/first.htm

    *https://back.cpc.gov.tw/backend/FrontQueryEvent/QueryEvent.aspx

這些網站都是近期才加入 GRCA 的相關憑證的。
不過,Mozilla Firefox 內建嚴格且完整的 CA Root 
機制,並且根據我們的追蹤(Bug 274106 &
Bug 341022),GRCA 已經以「Taiwan GRCA」的名稱加入到 Mozilla 
Firefox 的內建 CA Root
(*如附檔 BuiltinObjectToken-TaiwanGRCA.crt 
所示),但不知其因的無法認證上述網頁。在我
們測試下,發現只要手動導入貴網站上提供之儲存庫即可正��
�信任上述網站
(*http://grca.nat.gov.tw/repository/Certs/GRCA.cer)。比較兩個 .cer 
之後發現兩者之序號
明顯不同,且 Mozilla Firefox 所內建之 .cer 有效日期從 2002/12/25 
起;而貴網站現今提供
之 .cer 為 2003/3/3 啟用。實為費解,一個 CA Root 
兩份不同版本?畢竟需要這麼多相關認證
機構背書的國家認證機構,不是中華電信說想發幾個版本就��
�幾個版本吧?不知當初是否為中華
電信主動與 Mozilla Firefox 社群接洽而非 MozTW 
?現在,我們是否需要更換 GRCA 之自身憑
證 (self-signed root CA certificate)?還忘不吝指教。

Original comment by tobbymai...@gmail.com on 7 Aug 2009 at 4:13

GoogleCodeExporter commented 9 years ago 
Reply from Frank :
---------------------------------------------------
I received the GRCA root certificate along with the CPS and other
documents from CHEN Li-Chung (陳立群) of Chunghwa Telecom, in an email
sent December 2004. I just double-checked, and the root that I
received is the same root attached to bug 274106.

Original comment by tobbymai...@gmail.com on 7 Aug 2009 at 5:08

GoogleCodeExporter commented 9 years ago 
取得中華電信相關人員 E-MAIL ADD, 已轉寄
靜候回音

Original comment by tobbymai...@gmail.com on 8 Aug 2009 at 6:05

GoogleCodeExporter commented 9 years ago 
Echo from CHT <陳立群>
--------------------------------------------------------------------------------
--
Tobby ,您好,

    我是中華電信數據通信分公司人員,先前負責與國外Mozila 社群接洽,將維運行政院研究發展
考核委員會所擁有之政府憑證總管理中心(GRCA)自簽憑證加入Mo
zilla Firefox相關事宜,由於
GRCA有通過AICPA/CICA WebTrust for 
CAs外稽驗證,且GPKI(政府機關公開金鑰基礎建設)憑證政
策與GRCA 憑證實務作業基準也得到認可,而於2006/11,Mozilla 
Firefox內建GRCA自簽憑證.

    GRCA目前第一週期之自簽憑證為2002/12/5發出的4096位元憑證,您所提的.cer 為 2003/3/3
啟用,那是叫做政府憑證管理中心的自身憑證(請注意跟GRCA是Ro
ot CA憑證不同,中文上兩憑證管
理中心也有一字之差,是不同的憑證管理中心.因為政府機關公
開金鑰基礎建設是階層式架構,由
GRCA經由憑證機構交互認證程序,簽發下屬CA憑證(subordinate 
CAS的憑證)給
GCA,XCA,GTESTCA,MOICA,MOEACA..,而這些政府機關公開金鑰基礎下屬憑�
��機構簽發用戶憑證如
SSL類之伺服器應用軟體憑證給政府機關所擁有之伺服器),簡稱
GCA.所以GRCA,GCA明明就是兩個不
同CA,GCA是由GRCA背書,GRCA簽發CA憑證給GCA,授權其發保證等級第��
�級的用戶憑證.因此不是您
e-mail與轉貼至所說的"一個 CA Root 
兩份不同版本",或是情緒性言詞如"不是中華電信說想發幾
個版本就發幾個版本吧",建議您立即更正.(這些政府目的事��
�主管機關所成立之憑證管理中心都
有其嚴謹程序,加入政府機關公開金鑰基礎建設之憑證管理中�
��都需要經過行政院研考會之行政機
關電子憑證推行小組委員會議審查通過,且憑證實務作業基準�
��經過電子簽章法之主管機關經濟部
商業司通過才能運作,且每年必須接受不同等級之外稽).而目��
�也還沒有GRCA自簽憑證到期或有其
他原因要更換憑證之問題.

   關於您所提先前跟電子化政府客服中心信箱與電話反映而不得要領一節,此部分我們會跟行政
院研考會資管處二科之長官反映(客服中心目前由遠傳電信所�
��購之SeedNet負責).

   關於您所提考選部或消保會安裝由GCA所簽發之SSL類伺服器應用軟體憑證問題,因為我現在家
裡之電腦沒有裝Mozila 
Firefox,等明天進公司用我辦公室電腦所裝的Mozila 
Firefox瀏覽器去看
其問題.(也許是他們管轄之Server在憑證串鏈路徑之安裝上有問
題)

    建議您可以先參考GRCA網站裡面諸如 http://grca.nat.gov.tw/之架構圖,http:
//grca.nat.gov.tw/02-01.html之GPKI簡介,http://grca.nat.gov.tw/01-05.html所��
�之交互認
證憑證機構

    另補充說明我當初跟國外應該是Frank先生聯繫所用之e-mail為megastar@ms12.hinet.net,會
轉信到我公司的電子郵件realsky@cht.com.tw,另一個e-mail 
address,fc@cht.com.tw是我們其他
同仁負責中華電信公開金鑰基礎建設ePKI之自簽憑證加入Mozilla
事宜同仁.(跟Kathleen 無關)

     最後順道詢問另一問題,http://technet.microsoft.com/en-us/library/cc751157.aspx微
軟已經明訂內建其Root CA自簽憑證之PKI,其Root 
CA,下層CA金鑰長度或用戶金鑰長度與相關演算
法使用之安全要求,例如2010/12/31不要再簽發1024 
bits憑證,不知在Firefox這邊有沒有要進行
類似要求(備註GCA,MOECA,XCA已經開始簽發2048位元憑證給終端用��
�)

               陳立群

Original comment by tobbymai...@gmail.com on 10 Aug 2009 at 2:47

GoogleCodeExporter commented 9 years ago 
Echo from CHT p*2 <陳立群>
--------------------------------------------------------------------------
Tobby, 您好,

         若從我辦公室電腦連結考選部國家考試報名網站,我覺得是Firefox在處理憑證資訊上的
問題,請參考附加檔案 "ssl3.jpg"之螢幕抓圖,
我點選Firefox(version 
為3.0.12)右下方之安全鎖檢視憑證,Firefox告知對於"網站身分"視
窗下
的網站擁有者 所告知的訊息為 
"本網站沒有提供身分識別資訊" ,但實際上 我們去檢視憑證, 
如
ssl3.jpg檔案右下方顯示,其實對於憑證主體(你們中文將Subject翻
譯為"主要",會讓用戶搞不清
楚那是啥?應該翻譯為"憑證主體")之DN(憑證唯一識別名稱,Distin
guished Name)有解析出如欄位
值下的
CN=register.moex.gov.tw
OU=考選部
O=考試院
C=TW
換句話講,該網站(register.moex.gov.tw)有提供識別資訊 
(有經過政府憑證管理中心之註冊窗
口審驗憑證申請者之身分後才由政府憑證管理中心用其CA之私
密金鑰簽發憑證,以數位簽章技術確
保所記載資訊之完整性,鑑別性與不可否認性),亦即其網站之��
�有者的身分資訊有提供,為我國考
試院之考選部.

       在附加檔案SSL3.jpg右上方之憑證檢視器, Firefox在處理憑證裡面之UTF-8編碼可能有問
題 
,因此在憑證層級(也就是憑證串鏈路徑,顯示該張伺服器軟體��
�證是由GCA發的,GCA本身憑證是
由GRCA發的 
,也就是如前封e-mail所告知,我國政府機關公開金鑰基礎建設是
階層式架構),你們將
政府憑證管理中心之名稱顯示為亂碼,這部份看可否解決? 
(檢附ssl-IE.jpg, IE 6.0也不是最新
之IE 
8.0,人家之瀏覽器連上國家考試報名網站系統可以正常解析告�
��用戶該GPKI第一層下屬CA憑
證之主體名稱為 "政府憑證管理中心",其顯示並無亂碼)

        因此你們反映之問題應該是Firefox有翻譯與提供用戶資訊錯誤之處造成.最簡單之檢驗
方式其實是你們可用也有內建GRCA自簽憑證之I.E.瀏覽器連結,��
�家的瀏覽器可以正常解析與告知
用戶該連結網站之正確資訊.那可能你們也要追求跟人家達到�
��樣之顯示水準(且國家考試報名網
站資訊系統之SSL類伺服器應用軟體憑證是2006年8月11日就簽發,
不是你們所說這些網站都是近期
才加入 GRCA 的相關憑證的)

Original comment by tobbymai...@gmail.com on 10 Aug 2009 at 2:49

GoogleCodeExporter commented 9 years ago 
Reply to CHT from Tobby
--------------------------------------------------------------------------------
-
您好,
  感謝您在百忙中撥冗回覆,感激不盡。
  在此冒昧請您試試看對您的 Mozilla Firefox 進行以下操作:

   工具 > 選項 > 進階 > 加密 > 檢視憑證清單 > 憑證機構 
> 匯入 :
http://gca.nat.gov.tw/repository/Certs/GCA.cer

然後在測試前述之網站,Firefox好像就會達到您所說得"那可能
你們也要追求跟人家達到一樣之
顯示水準"之顯示水準。可否解釋此一現象?
  關於您所說得GPKI階層結構,我已於發信前悉之。若前述�
��之出入,甚感抱歉,並敬請見諒。
  於亂碼的部份,我們會提出回報,但這可能不影響憑證��
�效用。您可以在上述操作後於" 憑
證機構"一欄中看到"政府憑證管理中心",並且在"檢視"中看到
亂碼,但仍不影響其憑證效用。
  上文中幾處頗為費解,例如「也許是他們管轄之Server在��
�證串鏈路徑之安裝上有問題」,
可否詳解之?
  另,對於"不是中華電信說想發幾個版本就發幾個版本吧"
,此一情緒性用語係出於在更換
Root 
CA之自簽憑證後,似乎一切問題隨之消失?關於這點,甚感費
解。
  關於 Mozilla Firefox 對於其 Root 
CA,下層CA金鑰長度或用戶金鑰長度與相關演算法使用
之安全要求等後續問體,實不屬不才小弟管轄範圍,待後續處�
��。
  最後,對於前文不清楚或用詞過於粗糙等部份,實感抱��
�,還望多加包含。
MozTW.org / Tobby

Original comment by tobbymai...@gmail.com on 10 Aug 2009 at 2:50

GoogleCodeExporter commented 9 years ago 
Reply from CHT:
--------------------------------------------------------------------------
您好,

           "也許是他們管轄之Server在憑證串鏈路徑之安裝上有問題",建議參見GCA網站提供之
IIS 
或Apach之SSL伺服器憑證請求檔製作與憑證安裝相關手冊或是"98
年3月份伺服器應用軟體憑
證及非IC卡類憑證申請說明會簡報" 
(都放在http://gca.nat.gov.tw/05-02.html),簡單的講,以
IIS為例,  要做以下四個步驟
一、取得GRCA自簽憑證及GCA憑證之憑證串鏈
二、安裝GRCA自簽憑證及GCA憑證之憑證串鏈
三、安裝SSL伺服器軟體憑證
四、散佈GRCA自簽憑證到Web用戶端 
(此步驟對IE或Firefox可不用做,因為已經內建).

      您可將Mozilla Firefox 內的GCA自身憑證(GCA.cer)刪除,如果連上有正確安裝GRCA自簽憑
證,GCA本身憑證,與合法有效之伺服器應用軟體憑證之伺服器,��
�如研考會之e管家網站,
https://msg.nat.gov.tw/index.aspx 您會發現不會有錯誤訊息,且在SSL 
Handshake過程
中,Firefox可將此GPKI第一層下屬CA之憑證匯入.

       但若是連上https://register.moex.gov.tw/ (現在確認其網站應該是沒有裝GCA本身憑證
造成問題), 
以IE連可以有正確結果,以Firefox無法,這是因為IE比Firefox多了一
個功能,在GCA所
發之SSL類Server AP憑證其憑證之擴充欄位有一Authoridy Information 
Access 之欄位,
Firefox或IE都翻譯得不好,將之翻為 
授權資訊存取,其實此Authority是指類似CA這樣有認證用戶
身分能力之機構,IE可以由此資訊欄位去擷取憑證串鏈路徑,Fire
fox之介面雖可看得到其數值,
有提及
非 Critical
CA 簽發者: 網址: http://gca.nat.gov.tw/repository/Certs/IssuedToThisCA.p7b
OCSP: 網址: http://gca.nat.gov.tw/cgi-bin/OCSP/ocsp_server.exe

但Firefox不會將憑證串鏈路徑帶入,造成錯誤訊息.建議將來Firef
ox可以仿效IE做到此功能.

        我早上有分別用IE, Firefox先將裡面之GCA本身憑證移除, 將憑證抓圖顯示連結   國家
考試報名網站資訊系統https://register.moex.gov.tw/ 
之畫面,分別如附加檔案IE瀏覽器連
結.doc 與 Firefox3測試.doc

     另補充說明,希望你們可以告知對於新用戶下載Firefox,預設安裝中是只有GRCA自身憑證?不
過在Versign 
CA裡面,可看到已經預設其PKI之下層CA憑證在裡面解決瀏覽有安
裝其所發軟體或伺
服器憑證之問題.(如 Firefox3測試.doc 之圖1)

   最後則是對於Firefox會對於SSL伺服器憑證之擁有者 (網站擁有者)出現” 本網站沒有提供身
分識別資訊”建議此bug看可否修正.

Original comment by tobbymai...@gmail.com on 11 Aug 2009 at 3:25

GoogleCodeExporter commented 9 years ago 
已請CHT人員登錄 bugzilla, 靜候佳音

Original comment by tobbymai...@gmail.com on 18 Aug 2009 at 2:37

GoogleCodeExporter commented 9 years ago 
Toby, 這個問題解決了嗎?

Original comment by peter...@gmail.com on 19 Jan 2012 at 3:49

GoogleCodeExporter commented 9 years ago 
解決了。

Original comment by tobbymai...@gmail.com on 19 Jan 2012 at 4:09

GoogleCodeExporter commented 9 years ago

Original comment by peter...@gmail.com on 5 Mar 2013 at 2:38