いろいろやってみるにっき

てきとーに生きている奴の日記

古いエントリのサムネイル画像がリンク切れになってたりするけど、チマチマ修正中


自動車税をクレジットカード払いしてみた2015

今年の納期限は6/1(月)である。期間の残りが少ないのでまだ払っていない人はお忘れなく。ということで、昨日納税。手数料324円だが、カード払いで溜まるマイルのほうがお得なので今年もカード払い(高額な自動車税www)。 

去年もクレジットカード払いだったが、今年は同封されてきた紙が変わっていた。車検時の納税証明書が不要になったのか。昨年末車検だったけど、そういえば納税証明書は送られてきていたものを使った。

f:id:shigeo-t:20150529021412j:plain

f:id:shigeo-t:20150529021530j:plain

ここからは2つの話をする。一つは操作画面の話、もう一つは証明書の話。先に証明書のほうからいく。

EV SSL証明書ではないYahoo!公金支払い

普通のOV SSL証明書だった。OV(Organization Validation) SSL証明書は、企業の実在確認はされるので一般利用には問題ないのだが。

 

 DV

 OV

 EV

 認証のレベル

 低レベル

 高レベル

 最高レベル

 企業の実在確認

 ×

 ○

 ◎

いや、問題はないのだが、公金を扱うサイトなのにEV SSL証明書じゃないことに気付いてしまった。そんなわけできちんとチェックしてみた。

なお、Yahoo!公金支払いのトップページはhttp。全部httpsでいいと思うんだよ、この手のサイトは。なんでケチるんだろ。

Chromeでチェック

今回はChromeで払込したのでまずChrome。神奈川県の自動車税を選ぶと、鍵マークの上に黄色いのコーションマークが乗っている。

f:id:shigeo-t:20150529025557p:plain

鍵マークをクリックし、接続タブを選んでみると下記の通り。まだ重要な情報を入れる画面では無いのだが、あまりいい作りじゃない。

f:id:shigeo-t:20150529025907p:plain

一つ進んで、納付番号、確認番号を入れる画面(スクリーンショットはのちほど)。鍵マークからのコーションマークは取れている。さきほどのワーニングも無い。

f:id:shigeo-t:20150529030453p:plain

公開監査記録がありません

2つのページでは「公開監査記録がありません」が共通している。気になるので「公開監査記録」を調べてみた。

2か所引用する。まず公開監査記録(Certificate Transparency)について。

Certificate Transparency(以下「CT」)とは、SSL/TLSの信頼性を高めるための新たな技術で、Google社により提唱されました。現在はRFC6962としてRFC化され、証明書の誤発行を防ぐ新たな技術として注目されています。
CTは認証局が証明書を発行する都度、全ての証明書発行の証跡を、第三者の監査ログに記載する仕組みです。主に、ウェブサイトの運営者やドメイン名の管理者が、その監査ログサーバ(以下「ログ))を確認することで、自分のドメインに対して不正な証明書や、ポリシー外の認証局からの証明書が発行されていないかを検証することができます。

つづいてChromeとCTの関係。

Google Chromeには既にCTの検証機能が導入されており、SSLサーバ証明書がCTに準拠している(=Proofが登録されている)かどうかを表示できます。ログにProofが登録されていない証明書の情報を表示すると、「公開監査記録がありません」と表示されます。Proofが登録されている証明書であれば、登録されている情報を見ることができます。

CTは通常の証明書の検証に加えて監査ログを取る仕組みという説明である。今回の場合、koukin.yahoo.co.jpがGlobalSignで確認を取れているという情報まではここで読み取れるので、フィッシングサイトなどの不正サイトではないということが分かる。

f:id:shigeo-t:20150529031707p:plain

Internet Explorerでチェック

続いてInternet ExplorerChromeで鍵マークにが乗っていたお支払手順の説明画面では、鍵マークが見えない。

f:id:shigeo-t:20150529032607p:plain納付番号、確認番号を入れる画面に進むと灰色の鍵マークである。鍵マークにマウスオーバーすると金色になる。クリックするとこんな感じ。Chromeに比べると情報量が少ない。だからこういうときIEを使いたくないんだよな。わかんねーもん。なお「証明書の表示」をクリックすると、Chromeで表示させた証明書表示画面が出る。同じなので省略。

f:id:shigeo-t:20150529032916p:plain

クリッカブルな「このサイトを信頼するべきですか?」ってなんだよって思う人もいるだろう。

f:id:shigeo-t:20150529032916p:plain

証明書のエラーメッセージの内容説明ページである。

f:id:shigeo-t:20150529035401p:plain

「このサイトを信頼するべきですか?」はあまりいい表記ではない。「証明書のエラーメッセージについて」とかのほうがよくないですかね。

Firefoxでもチェック 

続いてFirefoxChromeで鍵マークにが乗っていたお支払手順の説明画面では、▲に!マークである。

f:id:shigeo-t:20150529034121p:plain

納付番号、確認番号を入れる画面に進むと灰色の鍵マークである。鍵マークをクリックするとこんな感じ。やはりChromeに比べると情報量が少ない。 

f:id:shigeo-t:20150529034420p:plain

この表示では、GlobalSignでyahoo.co.jpが認証されていて、「このWebサイトとの通信は安全です。」という表記。「GlobalSignでyahoo.co.jpが認証」「このWebサイトとの通信は安全」という2点では問題が無いことが明確に分かる。

まとめ

Yahoo!公金支払いのトップ画面はhttpだし、EV SSL証明書は使っていないし、あまり作りのよくないページもあるし、公金を扱うんだから改善してもらいたい。 

新版暗号技術入門 秘密の国のアリス

新版暗号技術入門 秘密の国のアリス

 

去年よりも見やすくなった操作画面

去年は検索からつまづいてので、最初からYahoo!公金で検索。いきなり「神奈川県」があるので直接クリック。

f:id:shigeo-t:20150529040410p:plain

Yahoo! JAPAN IDにTポイントカードを連動させていると、Tポイントでも支払えるらしい。Yahoo! JAPAN IDは持っているけど、Tポイントカードは持たない主義なのでYahoo! JAPAN IDでログインせずに先に進む。

f:id:shigeo-t:20150529040643p:plain

納付番号、確認番号を入れる画面。

f:id:shigeo-t:20150529041134p:plain

支払情報を入力画面。支払金額が見やすくなっている。

f:id:shigeo-t:20150529041305p:plain

内容を確認画面。

f:id:shigeo-t:20150529041447p:plain

手続き完了画面。

f:id:shigeo-t:20150529041855p:plain

まとめ 

去年にくらべて見た目スッキリ。合計金額もわかりやすい表示に変わった。

カード決済業務のすべて―ペイメントサービスの仕組みとルール

カード決済業務のすべて―ペイメントサービスの仕組みとルール

 
お時間あったら、他のエントリもクリックして頂ければ幸いです。