以前にも、Firefoxのソースをダウンロードしてgpgで署名を検証してみたところ、gmail.comなメールアドレスだったことがあった。その後、release@mozilla.orgのメールアドレスで署名が作られ検証できるようになったのだが、またひどいことになってる。

Firefox 2.0.0.7 から、ソースの署名を検証してみると、

$ gpg --verify firefox-2.0.0.8-source.tar.bz2.asc                      07-10-27
gpg: Signature made 2007年10月19日 05時26分35秒 JST using DSA key ID 17785FE8
gpg: requesting key 17785FE8 from hkp server pgp.mit.edu
gpgkeys: key B57B548417785FE8 not found on keyserver
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0
gpg: Can't check signature: public key not found

ってなもんで検証できなくなってしまった。

なんで鍵を鍵サーバにあげておくくらいのことしないのだろうか? サイトを見に行ってもどこに鍵があるのかもわからないので、インポートもできない。

こんな署名じゃあってもなくても一緒じゃないのか?

mozilla.orgはまともに署名を付ける気があるんだろうか? どこに文句言えばいいんかのう。

(@580)