2005年01月17日

,■自爆ボタンDX 通常版
,■安全な通信を行うための証明書
,■「安全な通信を行うための証明書」の利用規程
,■各都道府県の状況
,■バークシャー州長崎県
,■届いた本
,■OreSign.com
Title:■安全な通信を行うための証明書
Title:■安全な通信を行うための証明書
Title:安全な通信を行うための証明書 Content-Type: text/html; charset=EUC-JP Last-Modified: Sat, 30 May 2020 03:15:29 GMT サーバ管理者日誌 安全な通信を行うための証明書

2005年01月17日(月) << 前の日記 | 次の日記 >>
これまでの01月17日 編集

■2安全な通信を行うための証明書[セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

電子申請方面では、 LGPKI Application CA 自己署名証明書[http://www.lgpki.jp/Manual/install.htm] のことを、 安全な通信を行うための証明書[http://www.google.com/search?hl=ja&c2coff=1&q=%E5%AE%89%E5%85%A8%E3%81%AA%E9%80%9A%E4%BF%A1%E3%82%92%E8%A1%8C%E3%81%86%E3%81%9F%E3%82%81%E3%81%AE%E8%A8%BC%E6%98%8E%E6%9B%B8+site%3Alg.jp&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=] と呼ぶのが大ブームの様だ。

高木先生の、 都道府県電子申請で使用されるSSLサーバ証明書の種類[http://www.takagi-hiromitsu.jp/diary/20050115.html#p01] を参考に、LGPKI Application CAを使っている各県の電子申請システムが、どうやっているのか調べてみたところ、非常に困った状況であることが分かった。やはり、この国のPKIは崩壊しているかも知れない。

北海道[http://www.pref.hokkaido.jp/skikaku/sk-jkkku/shinseido/caution.htm]:

この「セキュリティの警告」は<申請堂>の証明機関であるLGPKIの「自己署名証明書(ルート証明書)」が ご利用端末のブラウザに現在格納されている証明機関リストに存在しないため、 『<申請堂>の証明機関であるLGPKIは利用者の方が信頼している(=ブラウザに格納された証明機関リストに存在する)機関ではない』 と警告しているもので、必ずしもセキュリティ上の問題を示しているものではありません。
「証明書の表示」ボタンを押すとサーバ証明書の情報が表示されますので、発行元がLGPKIであることを確認してください。

何をどう確認した事になるのか。

この「セキュリティの警告」ダイアログが表示される場合でも、「はい」を選択することで<申請堂>をご利用いただくことが出来ますが、 この場合、毎回表示される警告でサーバ証明書の真正性を確認しなければなりませんし、 信頼すべきでないサーバへのアクセスで表示される警告と見分けづらいため、 LGPKIの自己署名証明書(ルート証明書)をご利用端末のブラウザにインポートすることをお奨めします。

真正性は確認できないのだから、「はい」と答えてはいけない。
ということで、 ルート証明書のインストール方法[http://www.pref.hokkaido.jp/skikaku/sk-jkkku/shinseido/install.htm] である。

ダウンロード後、[AppCA.cer]をダブルクリックすると上のように証明書の内容が表示されます。 この画面ではまだLGPKIの自己署名証明書(ルート証明書)がインポートされていないため、警告が表示されています。
タブを切り替えることによって、証明書の情報を確認できます。 証明書のインポートを続けるには「証明書のインストール」ボタンを押してください。

ハッシュ値も掲載されているが、httpのページから証明書をダウンロードして、httpのページに書いてあるハッシュ値を比較することになる。
この確認で、ルート証明書をインストールするのは危険である。

栃木県[http://www.info.ds.pref.tochigi.lg.jp/guide/shoumeisho1.html]:

フィンガープリントの確認は「必ず行え」と書いてある。

1-7 証明書の「拇印」が画面に表示されますので、この値が下記の証明書のフィンガープリント情報と同じ値であるか確認してください。
1-8 地方公共団体における組織認証基盤(LGPKI)」のホームページ(http://www.lgpki.jp/)でも「安全な通信を行うための証明書」のフィンガープリント(拇印)情報が公開されてますので、そちらも確認してください。 万が一、ダウンロードした証明書の「拇印」が上記の証明書のフィンガープリント情報(拇印)と一致しないときは、ダウンロードした証明書は正しいものではありませんので、この場合は、絶対にブラウザに組み込まないでください。

しかし、AppCA.crtを同じhttpのページからダウンロードする作りである。
この確認で、ルート証明書をインストールするのは危険である。

埼玉県[http://www.pref.saitama.lg.jp/tools/ssl/ssldounyu.html]:

フィンガープリントの説明もなく、インストール手順が説明してあり、最後に、

なお、インストールした証明書について、その証明が正式なものかを確認する方法があります。
下記の確認方法をご覧ください。
→→●安全な通信を行うための証明書の確認

等と添え書きの様に書いてあるのみ。

東京都[http://www.taims.metro.tokyo.jp/soumu/shinseihelpdeskfaq.nsf/WebByCategory/79B63C1B171DF26D49256E2300025A45?OpenDocument]:

※尚、このメッセージが出ていても通信の暗号化は有効になっています。
通信の暗号化が有効かどうかの確認方法は、下記の関連リンクからご覧いただけます。

証明書の組み込み方法はhttpsのページの中にあるが、AppCAなので箱の鍵は箱の中。

石川県[http://www.pref.ishikawa.jp/johosei/eshinsei/warning.htm]:

これも結果としては、「OKを押せ」に近い。httpのページのフィンガープリントと比較せよというもの。

証明書が石川県のWEBサーバ証明書であることを、 石川県地方公共団体組織認証基盤のページから確認してください。

岐阜県[http://www.pref.gifu.lg.jp/pref/s11124/lgpki/kyodaku.htm]:

LGPKI Application CAをインストールすることを必須としている。

安全な通信を行うための証明書を設定する際には、設定の際に表示されるフィンガープリント(拇印)と、本ホームページに表示されるそれ及び6.で示す方法により、相違がないか確認し、自己の責任において行ってください。

ここもhttpなページのフィンガープリントとの比較である。

三重県[http://www.shinsei.pref.mie.jp/shinsei/index.html]:

今回調べた中で、唯一、まともな作りである。
安全な通信を行うための証明書について[https://www1.pref.mie.jp/e-shinsei/cert/] のページは、VeriSignの証明書を使ったページの中にある。
証明書が本物かどうかを確認するためにはフィンガープリントの照合が必要である事も説明しており、組み込み前にフィンガープリントを確認する様に求めている。
httpsのページにフィンガープリントがあるので、あとは、このサーバの運用自体が安全に行われているかの問題である。

滋賀県[http://www5.pref.shiga.jp/portal/p_message.htm]:

証明書組み込み方法のサイトへ移る途中、下記の「セキュリティの警告」メッセージが表示されますが、「OK」もしくは「はい」を選択してください。

警告に「OK」と答える事を要求してはいけない。httpsではあるが、箱の鍵は箱の中である。

httpでも同じログイン画面が表示され、ログイン画面フォームの送り先は相対パスの様だ。ということは、誤ってあるいは故意に「http」に誘導して盗聴する攻撃が成り立つ心配がある。

岡山県[https://www.e-entry.okix.jp/]:

VeriSignのサーバ証明書に切り替えた様だが、現在停止中。

山口県[http://www.pref.yamaguchi.lg.jp/gyosei/joho-k/lgpki/index.htm]:

「安全な通信を行うための証明書のインストール」を行う。
フィンガープリント照合の必要性についての記述も、フィンガープリントの掲載もあるが、httpである。

徳島県[https://www.tok-j.info/navigate/public/mu1/bin/first_ie.htm]:

県のページからずいぶん探したが、警告を無視しないと、利用案内すら見る事ができない様だ。
証明書のインストール手順が書いてあるが、フィンガープリントの照合は無し。
証明書の確認方法[https://www.tok-j.info/navigate/public/mu1/bin/egovweb/contents/cert_site.htm] というページが用意されているが、このページを見て仰天した。

証明書の確認手順
「証明書画面」が表示されたら、発行者の部分に「Application CA」と
表示されていることを確認後、[OK]ボタンをクリックしてIEの画
面に戻ってください。

⇒これで接続先が間違いなく徳島県であり、安全な通信が行われている
ことが確認できました。

こういうウソを流布させてはいけない。

香川県[https://kds.pref.kagawa.jp/sinsei/top/index.jsp]:

徳島県同様、警告を無視しないと、利用案内すら見る事ができない様だ。
フィンガープリント照合の必要について記述があり、LGPKIのフィンガープリント掲載ページへのリンクが用意されている。

愛媛県[http://www.pref.ehime.jp/denshin/ssl_info.html]:

手順中に「フィンガープリントの確認」は記述されているが、もちろんhttp。

福岡県[http://www.pref.fukuoka.lg.jp/wbase.nsf/doc/lgpki3?OpenDocument]:

高木先生からご指摘[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=142] を頂いたので、調べ直してみると、確かに使用しているのは「LGPKI AppCA」だった。訂正しておく。どの様に間違えていたかは、コメントとして残しておいた。

環境設定とユーザ登録[http://www.shinsei.pref.fukuoka.lg.jp/hajimete_07.html] から、 福岡県地方公共団体組織認証基盤[http://www.pref.fukuoka.lg.jp/wbase.nsf/doc/lgpki] を辿って、一番下の「(公的個人認証用の)福岡県認証局の自己証明書の取得へ」と勘違いした様だ。

警告メッセージが表示されますので、必ず、組込み作業を行なった上で「電子申請システム」「電子調達システム」を利用してください。

とある。
フィンガープリントを自己の責任で比較せよとあるが、AppCA.cer、フィンガープリントともhttp。

長崎県[http://eap.pref.nagasaki.jp/e-apply/docs/ssl_help.html]:

LGPKIホームページから、LGPKIにおける自己署名証明書をインストールせよとの説明。フィンガープリントの掲載も、照合の必要性も記述無し。

大分県[http://www.pref.oita.jp/10900/shinsei/]:

ここも、箱の鍵は箱の中である。警告を無視しないと、利用案内すら見る事ができない。
しかも、組み込み手順のページはアドレスバーを隠している。何のために隠すのか全く意味不明である。

なお、証明書を組み込まない場合は、毎回警告画面の「はい(Y)」をクリックして続行してください。

何のための証明書か全く理解していないとしか思えない。

鹿児島県[https://www.kagoshima-e-shinsei.jp/shinsei/jsp/default.jsp]:

ここも、箱の鍵は箱の中である。警告を無視しないと、利用案内すら見る事ができない。

証明書組み込み方法のサイトへ移る途中、下記の「セキュリティの警告」メッセージが表示されますが、「OK」もしくは「はい」を選択してください。

ここも警告を無視させる作りである。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2005年01月 翌月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project