FujiSSLでコードサイニング証明書を取得(1)
作成したソフトウェア(exe,dll等)にデジタル署名を行うため、FujiSSLというところでコードサイニング証明書というものを取得してみました。
FujiSSLでの手続きについては次回以降に書きます。
今回はFujiSSL自体とはまったく関係ないのですが、コードサイニング証明書に対する愚痴をこぼさせていただきます。
なお、用語その他の理解不足があるため、変な言い回しがあるかもしれませんがご容赦願います。
ここでは「デジタル署名」も同じ意味で使っています。
コードサイニング証明書とは
私が説明するよりも、以下等を読まれる方がよいかと思います。
コードサイニング証明書とは|「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
個人的には、SSLサーバー証明書のプログラム(exe)版(近いモノ)だと解釈しています。
このコードサイニング証明書という仕組み。
「パソコン(Microsoft)等」「証明機関」「ユーザー(プログラム使用者)」「提供者(プログラム作成者)」と登場人物が多く、利害関係もあり、個人的にはかなり気持ち悪いです。
気持ち悪さのせいか、分かった気にもなれません。
プログラムがデジタル署名されていない場合
提供者:「ユーザーさん、そのプログラムを使ってみてください」
パソコン:「(あの提供者、証明機関に金払ってねぇな。こらしめてやるか)」
パソコン:「ユーザーさん、そのプログラムはどこの誰が作ったか分からないので気をつけた方がいいですよ(警告表示)」
ユーザー:「そう言われると不安になるな~」
提供者:「がっくり…」
プログラムがデジタル署名されている場合
提供者:「証明書機関さん、お金払うんで私が作ったことを証明してください」
証明機関:「了解。(一部をパソコンさんにも上納しとくか)」
提供者:「ユーザーさん、そのプログラムを使ってみてください」
パソコン:「ユーザーさん、そのプログラムは提供者さんが作ったことが証明機関により保証されています。(だからといって、安全性とは何の関係もないんだけどね←性善説前提か?)」
ユーザー:「じゃ、大丈夫か」
提供者:「使ってもらえてよかったです」
・・・
誰のため?
なんだ、この茶番↑
ショバ代(みかじめ料)の論理!
しかも劇場型詐欺の雰囲気満載。
これ、誰のための仕組みなんだ?
パソコン(Microsoft)と(息のかかった)証明機関のための仕組みでしょう…
誰を守る?
最初は、誰かを守る機能なのかと考えましたが、誰も守らない気がします。
私Xが「A」というプログラムを作成して電子署名した場合、
「AというプログラムはXさんが作りました」
という証明はされますが、プログラムAが改ざんされるなどAと似たような「A'」という怪しいプログラムがあった場合、
私Xは「A'」というプログラムを作成していませんよ
と言ったところで、何の証明にもなりません。
作ったことは証明できても、作っていないことは証明できないので
「黒(有罪)」の証明にはなったとしても、「白(無罪)」の証明にはなりません。
「怪しい」「怪しくない」という近所の噂レベルの話ということでしょうか。
ま、そもそもが「お金を払ったら優遇してやるよ」という仕組みですからね。
プラス思考で考えるなら、コードサイニング証明書を取得した人は
「お金払ってまで自分の名前を公開している人なのだから、普通に考えれば安心できる人ですよ。悪い事したらすぐバレるんだし」
ということなのでしょうか。
そういうレベルのことを「仕組み」にしてはいけないと思うのですが…
とにかく、仕事のための仕事が増えるから変な手続き作らないでほしいです。
日本だけではなく世界的にそういう世の中なんですね。
詳しい誰か、納得できる事実を知っていたら教えてください。
何のためにお金を払うのか
ユーザー先で警告画面が表示されないようにですよ。
少しでもユーザーに安心してもらえるようにですよ。
パソコンさんが不安を煽るから、パソコンさん(と仲の良い証明機関に)払うんですよ。
お金の取り方が、ほぼチンピラだな…
次回はFujiSSLでの手続きについて。
以上。
後記
最後までお読みくださりありがとうございます。
こんなに更新したのに、現在はほぼ誰も見ていないゴミカスクズ無価値ブログです。
よければ(はてな)ブックマークや拡散をお願いいたします。
更新の原動力として励ましが欲しいのです…<(_ _)>