いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

関連記事を探すときは、読んだ記事と同じカテゴリをクリックしてください。

記事のカテゴリは記事タイトル下に表示されています。カテゴリ一覧はサイドバーにあります。


総務省統計局から事業所・企業照会票が来てたのでなぜかGPKIについて調べてみた。GPKIのApplicationCA2は現在好ましくない状態だった。

こんなの来てた。

f:id:shigeo-t:20151009025129j:plain

中身はこんな感じ。お願いの紙。

f:id:shigeo-t:20151009025244j:plain

照会票はこんな感じで裏表がある。表にはWebサイトとID、パスワードが書かれている。10月15日が回答期限。これが来てから回答期限まで日数があるんで、数日放っておいてた。

f:id:shigeo-t:20151009025517j:plain

f:id:shigeo-t:20151009025621j:plain

記入の仕方も入っている。

f:id:shigeo-t:20151009025822j:plain

中は見開き。

f:id:shigeo-t:20151009025907j:plain

裏面まで記入例。

f:id:shigeo-t:20151009030120j:plain

手書きできるので封筒も同封されている。新宿区なのね。

f:id:shigeo-t:20151009030328j:plain

といったわけで手書きするのはかったるいのでWebで回答してみる。

http://e-keizai.stat.go.jp

にアクセスしてみると、

https://e-keizai.stat.go.jp

にリダイレクトされる。国勢調査もこうすりゃよかったのに。まあ"s"一文字なんだからhttps://で案内したほうがいいと思うけど。

f:id:shigeo-t:20151009031112p:plain

回答は無事済ませた。回答項目は記入のしかたの通り。

f:id:shigeo-t:20151009033517p:plain

 

で、いつものように回答前に証明書を見てみたのだった。ApplicationCA2って政府認証基盤GPKIのルート証明書

f:id:shigeo-t:20151009031135p:plain

証明書情報の発行者のステートメントを見てみる。

f:id:shigeo-t:20151009031552p:plain

アプリケーション認証局2(Sub)のところにリンクがある。CP/CPSは証明書ポリシー/認証局運用規定。

http://www.gpki.go.jp/apca2/cpcps/cpcps_sub.pdf

で、上の接続ではChromeを使っていたのでするっと問題なく接続できたのだが、GPKIのApplicationCA2についてちょっと情報を調べてみたら、大変気になる情報にヒットしたので(後述)、Firefoxでもアクセスしてみた。

f:id:shigeo-t:20151009032331p:plain

おいおいである。GPKIはオレオレ証明書だったんだー(棒

なおChromeだけではなくIE、Edge、Operaでは問題なくサイトが表示される。ではFirefoxで安全性を確認できないのはなぜなのか。

引用する。

このGPKIでは現在、Japanese Goverment発行のApplicationCAとApplicationCA2という二つのルート証明書による公開鍵基盤が構築されているのだが、このうちApplicationCA2についてはMozillaのNSS証明書ストアに2017年まで取り込まれる予定でない(ApplicationCAについては既に取り込まれている)。


ApplicatonCA2のルート証明書についてはMicrosoftAppleによって配布されてはいるのだが、Linuxや各種BSD、他OSではそれはなされておらず、また、Firefox等のMozilla製品についてはWindowsにおいても自身のNSS証明書ストアを利用するためにデフォルトではApplicationCA2のルート証明書が利用可能ではない。


ではこのApplicationCA2のルート証明書はどの様にこれが元々使えない環境にインストールするのか?それは

http://www.gpki.go.jp/apca2/guidance_firefox.html

から証明書をインストールする事によって行う。


…が、このインストール時に取得する証明書の正当性はどうやって保証されているのか?
ApplicationCA2ルート証明書に依存するApplicationCA2 Sub証明書によってである。つまり、循環オレオレ証明書状態…。
これにより、取得時に中間者攻撃を受ける可能性があり、しかもその検証も行えない恐れがある(そもそも大抵の人は検証すらしないだろう)。

ChromeOperaMicrosoftが配布したルート証明書を見ている(IEと同じ証明書ストアを見ている)ようだが、Firefoxはそこを見ていない。また、LinuxMicrosoftAppleのブラウザは載っていないのでルート証明書の配布も行われていないことになる。今年は2015年なんだけど、2017年まで配布が無いってどういうこと?

Linux起動して確認しようと思ったけど、Androidも同じ状態だなって思ったのでAndroidChromeでアクセスしてみた。やっぱりオレオレ証明書状態だった。

f:id:shigeo-t:20151009035425p:plain

上で紹介したブログでは単に循環オレオレ証明書ってだけじゃなく、『ちょっとPKI分かってない担当者じゃないの』ってところまで話が進むんだが、そこで思い出したのは下記。

f:id:shigeo-t:20151009040141p:plain

このときはGPKIもあるよねーって思って読んでいたんだが、確かにカバレージに問題ある。事業所・企業照会ならPCやMacから回答すると思うけど、このApplicationCA2にはe-Taxなどe-Gov系がぶら下がっている。その中にはスマホ/タブレットでアクセスする物もあるかもしれない。まさかマイナンバーもApplicationCA2じゃないよね、まだ手元に来ないから調べられないけど。

PCのほうはFirefox避けてねで済む(WindowsならIEが載ってる)けど、Androidも使わないでねっていうのはちょっとまずいかも。

ローラ カルシウム+D 150粒

ローラ カルシウム+D 150粒

 
ネイチャーメイド カルシウム 200粒

ネイチャーメイド カルシウム 200粒