政府認証基盤(GPKI)の証明書ないしフィンガープリントの正当性の確認はどこですればいいのだろう
Posted by yoosee on Web at 2008年08月07日 09:00 JST*1 政府認証基盤(GPKI)
引越しをしてしばらく経ったし、オンラインで在留届を出そうと思って外務省のサイトにアクセスし、入力ページに移動してみると、Firefox3 が例によってオレオレ証明書警告を出してきた。政府機関なのによろしくないなと思ったが、よく見てみると、政府認証基盤(GPKI) と言う日本政府共通の認証局を利用したものらしい。 証明書の取得方法では、きちんと『自己署名証明書をフィンガープリントを確認してからインストールするように』という方法が記載されている。
それではと自己署名証明書をダウンロードしようとするが、このダウンロードの https サイト自体が自己署名証明書である。ではまぁ書かれている通りにフィンガープリントを確認すればいいのかとフィンガープリントの確認ページを開くが... これも同じドメインであり自己署名証明書サイト。 これ、いったいどこでこの証明書・フィンガープリントの妥当性を確認すればいいんだろう...。
しかしどこかで聞いたことがあるような気がしてググッて見ると、正しく例によって 2002年には類型の問題が 高木浩光氏のレポートで指摘されている。 せめて fingerprint だけでもブラウザ標準の証明書でサインされたSSLサイトで配布するなり、もしくはブラウザに最初からインストールするようには出来ないんだろうか。
( Permalink | Comments (3) | tags: security )
1. say at
2008年08月07日 13:56
MPHPT CA の証明書が無い状態の Internet Explorer で https://www.gpki.go.jp/apca/APCAroot.der をダウンロードしようとすると、http://pmakino.jp/tdiary/20060928.html にあるように自動的に Microsoft から MPHPT CA の証明書がダウンロードされ、「信頼されたルート証明機関」にインストールされるようです。アプリケーションに依存した配布方法なんでイマイチですが。(一応 Fx でも IE の証明書をインポートすれば認証できますが...)
2. yoosee at
2008年08月08日 04:06
おおお、IEで行けばそこまでいけるようになっていたのか。アプリケーション依存とは言え、普通の人は少なくともPCから正しい証明書やFingerprintを確認することが出来るわけですし、Windowsではない人も信頼できるWindowsの利用者がいればFingerprintを確認することが出来るわけで、状況としては悪くないと思います。
3. とおりすがり at
2009年10月06日 14:01
(link)
証明書を単体で提供しないサイトから証明書をIE等を経由せずダウンロードする方法を探して通りすがった者です。
流離ってる内にここの人が欲して居るであろう情報が見あたったのでコメントしておきます。
> c)官報で確認
> 政府認証基盤アプリケーション認証局の自己署名証明書の
> フィンガープリントは官報第4774号(平成20年2月25日)
> に公示されています。
だってさ。なるほど官報ね。日付見るに問題になった後にやってるみたいだけれど、追記したほうがよさげな話ですので。
というか、高木浩光氏は確かにおおむね正しいこと言ってるのは良いのに、手軽なコメントフォームとかがないから問題点の指摘がやりづらくって困る。
この件も、ブログ持ちの人しかトラックバック撃てないしさぁ・・・
本当に欲しい情報って手に入りづらいですねー。
流離ってる内にここの人が欲して居るであろう情報が見あたったのでコメントしておきます。
> c)官報で確認
> 政府認証基盤アプリケーション認証局の自己署名証明書の
> フィンガープリントは官報第4774号(平成20年2月25日)
> に公示されています。
だってさ。なるほど官報ね。日付見るに問題になった後にやってるみたいだけれど、追記したほうがよさげな話ですので。
というか、高木浩光氏は確かにおおむね正しいこと言ってるのは良いのに、手軽なコメントフォームとかがないから問題点の指摘がやりづらくって困る。
この件も、ブログ持ちの人しかトラックバック撃てないしさぁ・・・
本当に欲しい情報って手に入りづらいですねー。