こんなの来てた。
中身はこんな感じ。お願いの紙。
照会票はこんな感じで裏表がある。表にはWebサイトとID、パスワードが書かれている。10月15日が回答期限。これが来てから回答期限まで日数があるんで、数日放っておいてた。
記入の仕方も入っている。
中は見開き。
裏面まで記入例。
手書きできるので封筒も同封されている。新宿区なのね。
といったわけで手書きするのはかったるいのでWebで回答してみる。
にアクセスしてみると、
にリダイレクトされる。国勢調査もこうすりゃよかったのに。まあ"s"一文字なんだからhttps://で案内したほうがいいと思うけど。
回答は無事済ませた。回答項目は記入のしかたの通り。
で、いつものように回答前に証明書を見てみたのだった。ApplicationCA2って政府認証基盤GPKIのルート証明書。
証明書情報の発行者のステートメントを見てみる。
アプリケーション認証局2(Sub)のところにリンクがある。CP/CPSは証明書ポリシー/認証局運用規定。
http://www.gpki.go.jp/apca2/cpcps/cpcps_sub.pdf
で、上の接続ではChromeを使っていたのでするっと問題なく接続できたのだが、GPKIのApplicationCA2についてちょっと情報を調べてみたら、大変気になる情報にヒットしたので(後述)、Firefoxでもアクセスしてみた。
おいおいである。GPKIはオレオレ証明書だったんだー(棒
なおChromeだけではなくIE、Edge、Operaでは問題なくサイトが表示される。ではFirefoxで安全性を確認できないのはなぜなのか。
引用する。
このGPKIでは現在、Japanese Goverment発行のApplicationCAとApplicationCA2という二つのルート証明書による公開鍵基盤が構築されているのだが、このうちApplicationCA2についてはMozillaのNSS証明書ストアに2017年まで取り込まれる予定でない(ApplicationCAについては既に取り込まれている)。
ApplicatonCA2のルート証明書についてはMicrosoftやAppleによって配布されてはいるのだが、Linuxや各種BSD、他OSではそれはなされておらず、また、Firefox等のMozilla製品についてはWindowsにおいても自身のNSS証明書ストアを利用するためにデフォルトではApplicationCA2のルート証明書が利用可能ではない。
ではこのApplicationCA2のルート証明書はどの様にこれが元々使えない環境にインストールするのか?それはhttp://www.gpki.go.jp/apca2/guidance_firefox.html
から証明書をインストールする事によって行う。
…が、このインストール時に取得する証明書の正当性はどうやって保証されているのか?
ApplicationCA2ルート証明書に依存するApplicationCA2 Sub証明書によってである。つまり、循環オレオレ証明書状態…。
これにより、取得時に中間者攻撃を受ける可能性があり、しかもその検証も行えない恐れがある(そもそも大抵の人は検証すらしないだろう)。
ChromeやOperaはMicrosoftが配布したルート証明書を見ている(IEと同じ証明書ストアを見ている)ようだが、Firefoxはそこを見ていない。また、LinuxはMicrosoftやAppleのブラウザは載っていないのでルート証明書の配布も行われていないことになる。今年は2015年なんだけど、2017年まで配布が無いってどういうこと?
Linux起動して確認しようと思ったけど、Androidも同じ状態だなって思ったのでAndroidのChromeでアクセスしてみた。やっぱりオレオレ証明書状態だった。
上で紹介したブログでは単に循環オレオレ証明書ってだけじゃなく、『ちょっとPKI分かってない担当者じゃないの』ってところまで話が進むんだが、そこで思い出したのは下記。
このときはGPKIもあるよねーって思って読んでいたんだが、確かにカバレージに問題ある。事業所・企業照会ならPCやMacから回答すると思うけど、このApplicationCA2にはe-Taxなどe-Gov系がぶら下がっている。その中にはスマホ/タブレットでアクセスする物もあるかもしれない。まさかマイナンバーもApplicationCA2じゃないよね、まだ手元に来ないから調べられないけど。
PCのほうはFirefox避けてねで済む(WindowsならIEが載ってる)けど、Androidも使わないでねっていうのはちょっとまずいかも。
