今年の納期限は6/1(月)である。期間の残りが少ないのでまだ払っていない人はお忘れなく。ということで、昨日納税。手数料324円だが、カード払いで溜まるマイルのほうがお得なので今年もカード払い(高額な自動車税www)。
去年もクレジットカード払いだったが、今年は同封されてきた紙が変わっていた。車検時の納税証明書が不要になったのか。昨年末車検だったけど、そういえば納税証明書は送られてきていたものを使った。
ここからは2つの話をする。一つは操作画面の話、もう一つは証明書の話。先に証明書のほうからいく。
EV SSL証明書ではないYahoo!公金支払い
普通のOV SSL証明書だった。OV(Organization Validation) SSL証明書は、企業の実在確認はされるので一般利用には問題ないのだが。
|
DV |
OV |
EV |
認証のレベル |
低レベル |
高レベル |
最高レベル |
企業の実在確認 |
× |
○ |
◎ |
いや、問題はないのだが、公金を扱うサイトなのにEV SSL証明書じゃないことに気付いてしまった。そんなわけできちんとチェックしてみた。
なお、Yahoo!公金支払いのトップページはhttp。全部httpsでいいと思うんだよ、この手のサイトは。なんでケチるんだろ。
Chromeでチェック
今回はChromeで払込したのでまずChrome。神奈川県の自動車税を選ぶと、鍵マークの上に黄色い▲のコーションマークが乗っている。
鍵マークをクリックし、接続タブを選んでみると下記の通り。まだ重要な情報を入れる画面では無いのだが、あまりいい作りじゃない。
一つ進んで、納付番号、確認番号を入れる画面(スクリーンショットはのちほど)。鍵マークから▲のコーションマークは取れている。さきほどのワーニングも無い。
公開監査記録がありません
2つのページでは「公開監査記録がありません」が共通している。気になるので「公開監査記録」を調べてみた。
2か所引用する。まず公開監査記録(Certificate Transparency)について。
Certificate Transparency(以下「CT」)とは、SSL/TLSの信頼性を高めるための新たな技術で、Google社により提唱されました。現在はRFC6962としてRFC化され、証明書の誤発行を防ぐ新たな技術として注目されています。
CTは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。主に、ウェブサイトの運営者やドメイン名の管理者が、その監査ログサーバ(以下「ログ))を確認することで、自分のドメインに対して不正な証明書や、ポリシー外の認証局からの証明書が発行されていないかを検証することができます。
つづいてChromeとCTの関係。
Google Chromeには既にCTの検証機能が導入されており、SSLサーバ証明書がCTに準拠している(=Proofが登録されている)かどうかを表示できます。ログにProofが登録されていない証明書の情報を表示すると、「公開監査記録がありません」と表示されます。Proofが登録されている証明書であれば、登録されている情報を見ることができます。
CTは通常の証明書の検証に加えて監査ログを取る仕組みという説明である。今回の場合、koukin.yahoo.co.jpがGlobalSignで確認を取れているという情報まではここで読み取れるので、フィッシングサイトなどの不正サイトではないということが分かる。
Internet Explorerでチェック
続いてInternet Explorer。Chromeで鍵マークに▲が乗っていたお支払手順の説明画面では、鍵マークが見えない。
納付番号、確認番号を入れる画面に進むと灰色の鍵マークである。鍵マークにマウスオーバーすると金色になる。クリックするとこんな感じ。Chromeに比べると情報量が少ない。だからこういうときIEを使いたくないんだよな。わかんねーもん。なお「証明書の表示」をクリックすると、Chromeで表示させた証明書表示画面が出る。同じなので省略。
クリッカブルな「このサイトを信頼するべきですか?」ってなんだよって思う人もいるだろう。
証明書のエラーメッセージの内容説明ページである。
「このサイトを信頼するべきですか?」はあまりいい表記ではない。「証明書のエラーメッセージについて」とかのほうがよくないですかね。
Firefoxでもチェック
続いてFirefox。Chromeで鍵マークに▲が乗っていたお支払手順の説明画面では、▲に!マークである。
納付番号、確認番号を入れる画面に進むと灰色の鍵マークである。鍵マークをクリックするとこんな感じ。やはりChromeに比べると情報量が少ない。
この表示では、GlobalSignでyahoo.co.jpが認証されていて、「このWebサイトとの通信は安全です。」という表記。「GlobalSignでyahoo.co.jpが認証」「このWebサイトとの通信は安全」という2点では問題が無いことが明確に分かる。
まとめ
Yahoo!公金支払いのトップ画面はhttpだし、EV SSL証明書は使っていないし、あまり作りのよくないページもあるし、公金を扱うんだから改善してもらいたい。
去年よりも見やすくなった操作画面
去年は検索からつまづいてので、最初からYahoo!公金で検索。いきなり「神奈川県」があるので直接クリック。
Yahoo! JAPAN IDにTポイントカードを連動させていると、Tポイントでも支払えるらしい。Yahoo! JAPAN IDは持っているけど、Tポイントカードは持たない主義なのでYahoo! JAPAN IDでログインせずに先に進む。
納付番号、確認番号を入れる画面。
支払情報を入力画面。支払金額が見やすくなっている。
内容を確認画面。
手続き完了画面。
まとめ
去年にくらべて見た目スッキリ。合計金額もわかりやすい表示に変わった。