[餅] 餅空 blog / Blogger支店

Bloggerの使い勝手を試しつつ記す日記です。

2005-01-15

SSL証明書

高木浩光@自宅の日記 - 広島市曰く「警告は出ますがセキュリティ自体には問題ない」, 高知県情報企画課曰く「とくにおかしいと思わない」, 簡単な結論

 「広島市大型ごみ収集申し込みページ」と「高知県電子申請届出システム・ログインページ」のSSL証明書に問題があるとの事で、高木浩光さんが担当者に問い合わせをしたときの様子をblogに書き起こしています。クレーマーのように見えるかもしれませんが、このようなエセ・セキュアサイト構築を蔓延させないためにも厳しい指摘は止むを得ないでしょう。

 この二つのサイトはどちらも独自認証局で認証を行っているため、ブラウザが警告を出してしまいます。「広島市大型ごみ収集申し込みページ」に至っては独自認証局で認証しているだけでなく、「1年も前に有効期限切れ」「本来のホスト名は www.ogatagomi.kankyo.city.hiroshima.jp であるのに使用されている証明書が www.hiroins-net.ne.jp のもの」であるため、三重に警告を出してしまうというスゴイものです。これを書いている時にも訪れてみましたが状況は変わっていませんでした。

 独自認証局による認証でもブラウザ~サーバー間のやりとりが暗号化されるのは確かなのですが、SSL証明書の持つ実在証明というものが意味を成していません。独自認証局での認証というのは個人サイトレベルの実験などでは許容されるかも知れませんが、公的な機関がこのような認証局を利用しているのは驚きです。実際にこのようなサイトに立ち会ったら思わず「ぉぃぉぃ」とツッコミを入れてしまうのは間違いありません。

 「大型ゴミ収集の申し込みページ」だけのために、SSL証明書にお金を払う(Verisignなら年間8万円以上)というのはもったいないという気持ちはわからないではありませんが、システム構築をきちんと考えていれば、セキュアな部分だけ一つのSSL証明書を共有する方法や、ワイルドカードなSSL証明書を使う等考えられるのではないでしょうか?でも、きっと広島市や高知県の中がすでに縦割り行政になっていてうまく調整ができないのではないかと邪推推測しています。

 このような状況になっている公的サーバは他にも沢山あって今頃あわてている業者さんや担当者も多いのではないでしょうか。管理している業者さんは考えを改めましょう。