水無月ばけらのえび日記

地方公共団体のサーバ証明書

高木さんの14日の日記 (takagi-hiromitsu.jp)には、地方公共団体のサーバ証明書話の続きが出ていますね。

埼玉県は、担当者のレベルは広島市よりマシだと思いますが、やらせようとしていることの危険性はむしろ高いですね。指摘されている通り、フィンガープリントの書かれているページ自体がなりすましに遭っていたらどうにもならない上に、インストール後は悪意あるサーバ証明書を無条件に受け入れてしまうのですからどうにもなりません。

※もっとも、ルート証明書のインストール自体は否定しないというか、自分の管理しているサーバに自己証明書の SSL を入れて、そのルート証明書を自分のマシンに入れたりするのは問題ないと思うわけですが。信頼できないルートで入手してはならないということです。

しかし、何でこんなあほらしいことが起きているのでしょうね。地方公共団体はみんなこんなに駄目というわけでもなくて、たとえば東京都のフォーム (aps.metro.tokyo.jp)や静岡県のフォーム (www2.pref.shizuoka.jp)は普通にベリサインです。市レベルでも 静岡市のフォーム (sc.city.shizuoka.shizuoka.jp)、東京都町田市のフォーム (www.city.machida.tokyo.jp)、西東京市のフォーム (forum.city.nishitokyo.lg.jp)なんかみんなベリサインですね。そんなわけで、「地方公共団体だからベリサインは使えない」というような事情があるわけでもないと思うのですが……。

※なんか揃いも揃ってベリサインなのも気になると言えば気になるのですが、私の知っているところがたまたまベリサインなだけかもしれません。

• 「地方公共団体のサーバ証明書」へのコメント (6件)

関連する話題: セキュリティ / Web / SSL/TLS