2005年04月11日(月) これまでの04月11日 編集

■1 続・PowerEdge SC420[http://www.nantoka.com/~kei/diary/?200503c&to=200503232#T200503232][おかいもの] このエントリーをはてなブックマークに追加

届いた。
梱包
さすがにきちんと箱に入って(当たり前)送られてきた。
開いてみると、ディスク1台位の増設は苦もなくできそうだ。

音がうるさいという指摘もあったけれども、(既にウチにある)他のサーバと比べてむしろ静かな方だった。安心。

■2 PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」[http://takagi-hiromitsu.jp/diary/20050410.html#p01] このエントリーをはてなブックマークに追加

この記事。ちょっとした操作ミスで消してしまって書き直している。このため、初出の時と微妙に内容が違うかも知れない。
安全な通信を行うための証明書[http://www.nantoka.com/~kei/diary/?200501b&to=200501172#T200501172] について調べた時に、 「安全な通信を行うための証明書」の利用規程[http://www.nantoka.com/~kei/diary/?200501b&to=200501173#T200501173] について、
各県で「安全な通信を行うための証明書」の利用規程を掲げているが、これには判で押した様に
○禁止事項
安全な通信を行うための証明書の入手と設定に当たっては、次に掲げる行為を禁止します。
・本証明書を、証明書ポリシー(CP)に定められている目的以外に使用すること。
○免責事項
・××は、利用者が安全な通信を行うための証明書の入手と設定を行ったことにより発生した利用者の損害及び利用者が第三者に与えた損害について、一切の責任を負いません。
等と書かれている。 証明書ポリシーに定められている目的とは 地方公共団体組織認証基盤・アプリケーション証明書証明書ポリシー(CP)[http://www.lgpki.jp/unei/C-6-2-3_CP_Ap_20041125.pdf] によれば、
1.3.2 適用性・適用環境など
アプリケーション証明書は、以下の用途及びアプリケーションでの使用を前提とする。
・Web サーバ証明書
地方公共団体で運営されるWeb サーバ等の各種サーバに適用し、住民・企業等に対するホームページによる広報及び申請業務等や地方公共団体内の業務システム等で使用する。また、地方公共団体組織認証基盤として運用される各種サーバに適用する。Web サーバ証明書の有効期間は、証明書を有効とする日から起算して3年とする。
を指していると思われるが、これはエンドユーザー向きの内容ではない。
なぜこの禁止事項が書かれる様になったのか推察すると、同じくこのCPに、
2.1.3 証明書利用者の義務
アプリケーション証明書の利用者は、次の義務を負う。
・アプリケーション証明書は、例規に基づき本CP に従って利用する。
・アプリケーション証明書及びその秘密鍵を安全に管理する。
・アプリケーション証明書の管理は、地方公共団体組織認証基盤における認証局鍵情報等利用規程に基づいて行う。
・秘密鍵が危殆化した場合は、速やかに本CP「1.1.2 関連規程」に示す各CPS に定め る組織に報告する。
・アプリケーション証明書は、本CP「1.3.2 適用性・適用環境など」で定める目的以 外で適用しない。
という規定があるからではなかろうか。ここでいう、「アプリケーション証明書の利用者」は自治体でサービスを提供している側であって、サービスを利用するエンドユーザーではない。
と書いた。
ところが、 PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」[http://takagi-hiromitsu.jp/diary/20050410.html#p01] の記事によると、
東京都は、「サーバ認証」と「電子メールの保護」だけを有効にせよと指示している。「使用許諾」で「禁止事項」とされていたのは、 この通りの以外の設定をする行為が禁止されていたのである。(電話で問い合わせた際、そのような趣旨の説明を受けた。)
と、確かにエンドユーザに対して、「サーバ認証」と「電子メールの保護」以外の証明書として用いることを禁止していた様だ。
同じ「安全な通信を行うための証明書」は他の自治体でも配布されている。例えば、 発行者の部分に「Application CA」と表示されていれば接続先が間違いなく徳島県であり、安全な通信が行われていると主張する徳島県[http://www.nantoka.com/~kei/diary/?200501b&to=200501172S11#T200501172S11] では、
2 安全な通信を行うための証明書 使用許諾

「安全な通信を行うための証明書」を使用するための注意事項です。よくお読みください。

「安全な通信を行うための証明書」の入手と設定の前に、下記規約を十分にお読みください。
下記規約に同意できない場合は、当証明書の入手と設定をお断りします。同意される場合は、下部にある【同意する】をクリックしてください。当証明書の入手と設定の手順に移ります。

1. 禁止事項
安全な通信を行うための入手と設定に当たっては、次に掲げる行為を禁止します。

 (1) 本証明書を、証明書ポリシー(CP:Certificate Policy)に定められている目的以外に使用すること。
との規約を掲げているのだが、 「安全な通信を行うための証明書」のインストール[http://e-nyusatsu.pref.tokushima.jp/03prepare/05.html] の手順に従ってインストールすると、 規約に違反する状態でインストールされてしまう
実は、 証明書の使用目的の設定方法は基本中の基本の設定で、書くまでもないことだったのだろうか。だとすると、証明書の扱いについて、私はまだまだ勉強不足だった様だ。
この手順通りにインストールすると、サーバ認証、電子メールの保護ばかりでなく、IPSecの認証、暗号化ファイルシステム、Windowsハードウェアドライバの確認、Windowsシステムコンポーネントの確認、埋め込みWindowsシステムコンポーネントの確認、キー回復、ドキュメント署名、ファイル回復、すべてのアプリケーションポリシー、秘密キーのアーカイブ等々、 ローカルの証明含めてあらゆることにオールマイティのルート証明書として導入されてしまうということを、ゼンゼン知らなかった。
私の知識と経験では「安全な通信を行うための証明書」を正しく使うことはできなかった様だ。「安全な通信を行うための証明書」を使うためには、まだまだ勉強しないといけないことがたくさんあるが、心配なことはやらないだけの分別があって助かった。
「安全な通信を行うための証明書」のインストール[http://e-nyusatsu.pref.tokushima.jp/03prepare/05.html] を読んでインストールする人の中には、私の様にこのことを知らないで、 規約に違反する状態でインストールしてしまう人がいるかも知れない。潜在的に危険を非常に大きくする。 証明書の使用目的の設定方法は基本中の基本の設定で、書くまでもないことだとしても、ついうっかり 規約に違反しないように詳しく説明しておくべきではなかろうか。

■3 Slashdotted[http://tdiary-users.sourceforge.jp/cgi-bin/wiki.cgi?Slashdotted] このエントリーをはてなブックマークに追加

朝から日記サーバの様子を見ていると、異常にロードアベレージが高いことに気づいた。こないだ、 ロボットにぼこぼこ[http://www.nantoka.com/~kei/diary/?200503c#T200503294] にされて対策して以来、こういうことは無かったのにと思ったのだけど、トラフィックとログを見て驚いた。
トラフィック
スラッシュドットの記事[http://slashdot.jp/comments.pl?sid=250152&cid=721281] にURLが出たのが、9時51分。
スラッシュドットからリンクされたことで、急激にトラフィックが増加していることが分かる。
ウチのサーバは、Slashdottedにならないで良く頑張った様だ。このマシンは、もうすぐ日記サーバを引退するけれども、これまでよく頑張ったし、最後に「AMD-K6 300MHz, メモリ320MのATマシンでも、これだけやれるんだ」ってことを見せてくれた様な気がする。
引退させるのかわいそうになってきた。ちゃんと余生を過ごす場所を考えよう。
以上、1 日分です。

指定日の日記を表示

前月 2005年04月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

2018年12月18日

続・Echo Dotがやってきた

2018年12月17日

Echo Dotがやってきた
Amazon Product Advertising API

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project