シェアする

オレオレ証明書??

証明書の件です。

入国管理局がオレオレ証明書を使用しており、入国管理局が法務省ではない何かという説もあってもおかしくはないと思いましたが、真相は以下のようです。

政府認証基盤(GPKI)
http://www.gpki.go.jp/

政府認証基盤(GPKI)について
http://www.gpki.go.jp/documents/gpki.html

自己署名の理由については、GPKIによるものであって、ブラウザでエラーが表示されるのは、ブラウザ依存によるものでもあり、こういったシステムを設計した側の問題でもあります。自分の環境で見る限り、Firefoxではエラー表示、IE/Edge系では問題はなかったので、GPKIの中の人がIE環境をベースに政府認証基盤という枠組みを作ったというお粗末なお話というのが実態と思われます。

GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に

日本政府は政府関連サービス向けに認証基盤(GPKI)を提供しているが、Firefoxではそのサポートが遅れており、そのためハローワークなどのサイトがFirefoxでのアクセス時に「接続の安全性が確認できない」と表示される事態になっている(mozillaのbugzilla)。

GPKIの証明書がWindows Updateで配布されたことも以前話題になったが、Firefoxは独自にルート証明書を管理しており、今回は更新された新しいルート証明書がFirefoxに含まれていないために問題が発生しているようだ。

証明書の配布も行われているが、証明書を配布しているwww.gpki.go.jpについてもアクセスすると「接続の安全性が確認できない」という表示がされる状況になっている。

法務省HPから。

政府認証基盤(GPKI)のご案内

 お使いのパソコンには,政府認証基盤(GPKI)アプリケーション認証局の自己署名証明書が導入されていないことなどが考えられます。
お使いのインターネットブラウザを最新のものに更新いただくか,次のURLから電子政府の認証基盤に関する情報を案内するウェブサイトにアクセスし,「アプリケーション認証局」に関して掲載された説明や注意事項をご確認の上,自己署名証明書のインストールを行ってください。

省関係のお問い合わせフォームのSSLページの状況。

・オレオレ系

法務省(https://www.moj.go.jp/mojmail/kouhouinput.php)

総務省(https://www.soumu.go.jp/common/opinions.html)

防衛省(https://sec.mod.go.jp/mod/goikenshinsei/goikenbako/index.html)

経済産業省(https://wwws.meti.go.jp/honsho/comment_form/comments_send.htm)

国土交通省(https://www1.mlit.go.jp:8088/hotline/cgi-bin/hotline01011.cgi)

厚生労働省(https://www-secure.mhlw.go.jp/getmail/getmail.html)

電子政府の総合窓口e-Gov イーガブ(https://www.e-gov.go.jp/)

・Cybertrust Japan Co., Ltd.

文部科学省(https://www.inquiry.mext.go.jp/inquiry06/)

内閣府(https://form.cao.go.jp/keizai1/opinion-0009.html)

・Symantec Corporation

外務省(https://www3.mofa.go.jp/mofaj/mail/qa.html)

財務省(https://www2.mof.go.jp/enquete/ja/index.php)

農林水産省(https://www.contactus.maff.go.jp/voice/sogo.html)

官邸(https://www.kantei.go.jp/jp/forms/goiken_ssl.html)

・SECOM Trust Systems CO.,LTD.

警察庁(https://www.npa.go.jp/goiken/?wicket:pageMapName=goiken)

ざっと見る限り、省庁で使用する証明書に統一感はないですね。セキュリティは重要と思いますが、IEなど特定環境でなければ、エラーが表示されるという自己証明書として公的証明書とするのは厳しいと思いますね。入国管理局の自己証明書についても、政府認証基盤(GPKI)に関する問題のように見受けられます。余命さんのところで証明書に関する話が出て気になったので調べてみたところ、こんな感じだと思います。ネット周りのシステムに関しては独自部分が多いのは悪いわけではないのですが、システム構築を考える上で、特定環境に依存する設計は問題があると思います。