2007年10月27日(土) [過去の今日]
#1 どうしてmozilla.orgは署名をまともに扱わないのだろうか
以前にも、Firefoxのソースをダウンロードしてgpgで署名を検証してみたところ、gmail.comなメールアドレスだったことがあった。その後、release@mozilla.orgのメールアドレスで署名が作られ検証できるようになったのだが、またひどいことになってる。
Firefox 2.0.0.7 から、ソースの署名を検証してみると、
$ gpg --verify firefox-2.0.0.8-source.tar.bz2.asc 07-10-27 gpg: Signature made 2007年10月19日 05時26分35秒 JST using DSA key ID 17785FE8 gpg: requesting key 17785FE8 from hkp server pgp.mit.edu gpgkeys: key B57B548417785FE8 not found on keyserver gpg: no valid OpenPGP data found. gpg: Total number processed: 0 gpg: Can't check signature: public key not found
ってなもんで検証できなくなってしまった。
なんで鍵を鍵サーバにあげておくくらいのことしないのだろうか? サイトを見に行ってもどこに鍵があるのかもわからないので、インポートもできない。
こんな署名じゃあってもなくても一緒じゃないのか?
mozilla.orgはまともに署名を付ける気があるんだろうか? どこに文句言えばいいんかのう。
(@580)