YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2024-03-20 (水)


[一語一絵/IT系]

GPKIの罠 / 2005-01-14 (金)

[External]高木センセ−[External]大作をようやく読み終えた。[External]「広島市大型ごみ収集申し込み」はあまりに豪快。SSL証明書の有効期限切れメッセージを目の当たりにする機会なんてパソコンの時間が狂っている時くらいだと思っていたが、事実は小説より奇なりだ。

後半で挙げている[External]高知県の事例も合せて、問題の本質はここ。

Webサイト見てもですね、こんな警告が出るけども問題ありませんという解説を書いているところっていくつかあるんですね。そういうのを見た経験のある人がですね、「警告は無視してもいいんだ」ということをなんとなく思うわけですよ。そういう誤った理解がどんどんどんどん伝染病のように広がっているわけですね。それが問題の根本なんですよ。
Webブラウザがご丁寧に「警告」を出しているのに「警告が出ても問題ないです」と指導する事で、ユーザーの警戒心を馴らしてしまう危険性が危惧されるわけだ。例え電話口で相手が警察官を名乗っても疑ってかからねばならない昨今、時流に逆行する悪癖と言わざるを得ない。

病原体の発生源は政府である。この国のPKIはもう死んだに等しい。もはや防ぎようがない。
というコメントが象徴するように、多くの無知が誤解を呼び、PKIを台無しにしてしまいつつある。

証明書
www.shinsei.pref.fukuoka.lg.jp の証明書
証明書
app.cocolog-nifty.com の証明書

事前にLGPKIルート証明書をインストールしておけば良いと言うのは確かに正論だが、自分の両親は言うまでもなく、弟にしても果たしてそれが期待できるだろうか?

WebブラウザLGPKIルート証明書の標準装備を促すような働きかけを政府がしていれば、このような体たらくにはならなかったのになぁ。

お膝元の[External]福岡県はどうやろ?と[External]電子申請Webサイトをチェック。[External]「初めて利用される方へ」として「安全な通信を行うための証明書」をインストールするように指示されているが、なかなかわかりづらい。

Q&Aにも「警告ダイアログ」云々の記述は無いが、PKIという言葉を聞いた事も無いような人にも気付いてもらえるだろうか?

最終的に[External]福岡県地方公共団体組織認証基盤(LGPKI)から「安全な通信を行うための証明書」という愛称で呼ばれる「LGPKI Application CA 自己署名証明書」をダウンロード。

認証局を運営する各県毎に発行されているが、内容は[External]地方公共団体における組織認証基盤(LGPKI)の管理下で同じなので、一度入れておけば他県のWebサイトでも問題無く適用される

しかしSSLサーバー証明書の発行者として「Application CA LGPKI JP」という名称はどうにも安易でやる気なさげ。こういうとここそ権威主義のお役所らしく(笑)仰々しい偉そうな名称を謳うべきだと思うのだが。

追伸:2004年9月27日付けで「Q&Aを更新しました」と書いてあったので、[External]「動作環境について」を見てみたら

Microsoft Windows XP(SP2)はご利用いただけませんのでご注意ください。
と書いてあった。さっさと補正予算を組んで改修してくださいな。

そういえば、新サーバーのSSL設定はほったらかしにしたままだったり....f(^^;;

【参照】
●高木浩光@自宅の日記 http://takagi-hiromitsu.jp/diary/
広島市曰く「警告は出ますがセキュリティ自体には問題ない」 2005年1月11日
高知県情報企画課曰く「とくにおかしいと思わない」 2005年1月11日
●福岡県 http://www.pref.fukuoka.lg.jp/
┗申請・届出手続の総合窓口 http://www.shinsei.pref.fukuoka.lg.jp/
●政府認証基盤(GPKI) http://www.gpki.go.jp/
●地方公共団体組織認証基盤(LGPKI) http://www.lgpki.jp/
●@IT http://www.atmarkit.co.jp/index.html
┣【特集】 GPKIとはなにか? http://www.atmarkit.co.jp/fsecurity/special/03gpki/gpki01.html
┗ 5分で絶対に分かるPKI http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin00.html