<20190814追記>
EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。
</追記終わり>
いくつか海老名市立図書館関係のツイートが流れてきて、状況を把握した。
EVSSLを信じるなら海老名市立図書館はcccの施設か。 https://t.co/uubdHfABHq
— 命守 星光 (@mihoshiinfo) 2016, 2月 15
海老名市図書館のドメインにCCCのEV証明書を発行してしまったのはCyberTrust。 pic.twitter.com/Pg7Y4Zvq0b
— 杉本崇/Takashi SUGIMOTO (@tsgmt) 2016, 2月 16
やっぱ公立サイトは基本.go.jpまたは.lg.jp以外でサービスしてはいけないという法律を作るべきだな。 / 他10コメント https://t.co/SyvZxKYSTO “海老名市立図書館” https://t.co/fEUN5BULaM
— ot2sy39 (@ot2sy39) 2016, 2月 16
EV SSL証明書が本来の主旨とは明後日の方向性ではあるけど、海老名市立図書館が、CCCに私物化された実状を証明しているのは、一周回って面白い状態だな。
— モフ皆伝 (@Mofu_Master) 2016, 2月 16
これ、サイバートラストのEV SSL証明書って意味ないって話にならんかね・・・いくらなんでも、CCCの証明書を図書館が使ってるのはおかしいだろ。よく、こんなん出したな。
— こいわ(特に茄子) (@koiwa) 2016, 2月 16
https://t.co/0Z3URVi5MK
海老名市立図書館がEV SSL証明書を使っているが、それがCCCに対して発行されたというもの。
aguse.jp: ウェブ調査で海老名市立図書館を調べてみる。まずは証明書。CybertrustからCulture Convenience Clubに対して発行されたものであることが分かる。このCCCが持っているサーバ上には、他サイトは無い。
ドメインは汎用のjpドメインである、ebina.city-library.jp。
何が問題なのか。海老名市は地方公共団体なので、本来であればlg.jpを使うべき。
続いてEV SSL証明書。SSL証明書は3つの認証レベルの違いがある。
|
DV |
OV |
EV |
認証のレベル |
低レベル |
高レベル |
最高レベル |
企業の実在確認 |
× |
○ |
◎ |
レベルの違いは上記の通り。少し長いが引用する。
■ 限定された認証局だけが発行
従来の「SSL証明書」の審査内容は認証局や証明書の種類によりまちまちでした。
異なった認証基準に基づいて発行されていたため、WEBサイト運営者の実在証明が厳格にされていない証明書もありました。「EV SSL証明書」の発行権は、独立した監査によりある一定の基準を満たした一部の認証局だけに発行権があり、大変高い信頼性を確保できるものになりました。
■ 厳格な世界標準の認証プロセスで発行
これまで、ユーザが、今アクセスしているサイトのサーバ証明書について、「誰が」「誰に」「どのような基準で」発行したか確認するのには、それなりの知識と時間を必要としました。「EV SSL証明書」の新たな認証プロセスは、「ドメイン名所有権の確認」、「申請責任者の権限の認証」、「企業実在性の認証」、さらに過去のフィッシングサイト事例との比較や申請者のブラックリスト掲載有無などがあります。今まで以上に大変厳格な審査が必要になるため、通信の保証を高いレベルで確保できます。
厳格な実在審査と、わかりやすい表示により、近年問題となる、サイトの成りすまし、いわゆる「フィッシング詐欺」に対して大きな効果を発揮することが期待されています。
なお、EV SSL規格準拠のサーバ証明書の発行には、組織の実在性確認のため、公的書類の提出等をお願いすることとなります。以下の組織・団体のみが申請できます。個人、個人事業者、任意団体は取得することができません。
◎日本に登記のある法人・団体
(一般企業、財団法人、国立大学法人、学校法人、社団法人、組合、相互会社、その他法人などの単位)
◎中央省庁および国の機関/地方公共団体およびその機関
本来であれば、海老名市の市立図書館のサイトは、誰が作って運用するのであっても、海老名市がドメインを持ち、海老名市がSSL証明書を発行してもらわなければならない。そのサーバ証明書をサーバに設定する作業は誰でもいいけど。
例えば文科省がサイトを作るとして、どこかSIerなどに発注するだろうが、文科省のサイトを名乗る以上、文科省が確保したドメインに文科省が申請して審査を受けて発行されたSSL証明書を使っていなければおかしい。どっかのSIerのサイトで「文科省でござい」みたいに運営されていたら、何を信じればいいのっていう話になる。オレも元SIerの中の人なので経験済だが、ドメインとサーバ証明書の確保は顧客作業だあるため、スケジュールに合わせて何度もフォローしていた。
今回は、まさに例と同じことが起きている。海老名市の施設のサイトなのにCCCが持っているドメインにCCCが『ドメイン名所有権の確認」、「申請責任者の権限の認証」、「企業実在性の認証」』を受けている。CCCのものであることは高いwレベルで証明されるが、海老名市のものであることは証明されていない。サーバ証明書と関係ない世界で、CCCが海老名市立図書館の運営を受託していることは知れているので、この一点だけでは攻めどころが難しいが。
証明書は2015年12月9日発行なのだが、いつからEV SSL証明書に切り替えたんだろう。
海老名市立図書館がサイトオープン時に、XSS脆弱性で大喜利会場になっている時は、確かにEV SSL証明書ではない。大喜利状態は2015年10月1日だし。10月1日から12月9日の間はどうなってたんだ問題はある。
<追記>
2016/02/17 10:25追記
下記、ご教示頂いた。
@shigeo_t EV証明書への更新作業は2/15の夜に実施されてます。それ以前は、TSUTAYA名義のワイルドカード証明書使っていました。https://t.co/oSDuQjIaTO
— Soukaku (@Soukaku) 2016, 2月 17
</追記>
そんなわけで、今のところこの一点だけでは下記の通り。
単に仕組み的に考えるとドメイン登録者もCCCだし、証明書もCCCなので何ら問題ない。
— soushi@脱法エンジニア (@_so4) 2016, 2月 16
サイバートラストは証明書を利用するドメインと企業を調べて、コンテンツ自体に関しては特に審査等やらない。
と言うわけで信用してサイトを利用するかどうかはユーザの判断に委ねられる。
でも「汎用jpのEV SSL証明書って」という話にはなる。 手続き的にはCybertrustだけじゃなくGeoTrustやSymantecなんかでも同じ手続きだろうし。EVの意味が無いとも言える。OV SSL証明書でも変わりないじゃん。
Symantecもそうなんだけど、汎用JPのEV SSLって「このドメインはうちのです」という人が手続きをしたらその通りに出るものなので、逆に『実質的なオーナーは誰か』という証明なのよね…
— ktgohan@USB充電本ZIN委託中 (@ktgohan) 2016, 2月 16
結局、
汎用jpのEV SSLは意味無いだろ。公共の場合go.jpとかlg.jpとか使え、そのうえでEV SSL証明書だろ。
— shigeo_t (@shigeo_t) 2016, 2月 16
って話だろうな。
で、武雄市図書館はlg.jpなんだよな。なんで海老名だけ?多賀城はどうなる。
佐賀市・唐津市・鳥栖市・武雄市の高卒程度 2016年度版 (佐賀県の公務員試験対策シリーズ)
- 作者: 公務員試験研究会
- 出版社/メーカー: 協同出版
- 発売日: 2015/04
- メディア: 単行本
- この商品を含むブログを見る