いろいろやってみるにっき

てきとーに生きている奴の日記

古いエントリのサムネイル画像がリンク切れになってたりするけど、チマチマ修正中


海老名市立図書館はCCCのEV SSL証明書を使っているということは私立図書館? #公設ツタバ館 #CCC

<20190814追記>

EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。

 

</追記終わり>

 

いくつか海老名市立図書館関係のツイートが流れてきて、状況を把握した。

 

 

海老名市立図書館がEV SSL証明書を使っているが、それがCCCに対して発行されたというもの。

f:id:shigeo-t:20160217040421p:plain

 

aguse.jp: ウェブ調査海老名市立図書館を調べてみる。まずは証明書。CybertrustからCulture Convenience Clubに対して発行されたものであることが分かる。このCCCが持っているサーバ上には、他サイトは無い。

f:id:shigeo-t:20160217031633p:plain

ドメインは汎用のjpドメインである、ebina.city-library.jp。

f:id:shigeo-t:20160217032324p:plain

何が問題なのか。海老名市は地方公共団体なので、本来であればlg.jpを使うべき。

LG.JPドメイン名とは
LG.JPドメイン名は、地方公共団体を対象としたドメイン名です。

 

続いてEV SSL証明書。SSL証明書は3つの認証レベルの違いがある。

 

 DV

 OV

 EV

 認証のレベル

 低レベル

 高レベル

 最高レベル

 企業の実在確認

 ×

 ○

 ◎

 レベルの違いは上記の通り。少し長いが引用する。

■ 限定された認証局だけが発行
従来の「SSL証明書」の審査内容は認証局や証明書の種類によりまちまちでした。
異なった認証基準に基づいて発行されていたため、WEBサイト運営者の実在証明が厳格にされていない証明書もありました。

EV SSL証明書」の発行権は、独立した監査によりある一定の基準を満たした一部の認証局だけに発行権があり、大変高い信頼性を確保できるものになりました。

■ 厳格な世界標準の認証プロセスで発行
これまで、ユーザが、今アクセスしているサイトのサーバ証明書について、「誰が」「誰に」「どのような基準で」発行したか確認するのには、それなりの知識と時間を必要としました。

EV SSL証明書」の新たな認証プロセスは、「ドメイン名所有権の確認」、「申請責任者の権限の認証」、「企業実在性の認証」、さらに過去のフィッシングサイト事例との比較や申請者のブラックリスト掲載有無などがあります。今まで以上に大変厳格な審査が必要になるため、通信の保証を高いレベルで確保できます。

厳格な実在審査と、わかりやすい表示により、近年問題となる、サイトの成りすまし、いわゆる「フィッシング詐欺」に対して大きな効果を発揮することが期待されています。

なお、EV SSL規格準拠のサーバ証明書の発行には、組織の実在性確認のため、公的書類の提出等をお願いすることとなります。以下の組織・団体のみが申請できます。個人、個人事業者、任意団体は取得することができません。
◎日本に登記のある法人・団体
(一般企業、財団法人、国立大学法人、学校法人、社団法人、組合、相互会社、その他法人などの単位)
◎中央省庁および国の機関/地方公共団体およびその機関

本来であれば、海老名市の市立図書館のサイトは、誰が作って運用するのであっても、海老名市がドメインを持ち、海老名市がSSL証明書を発行してもらわなければならない。そのサーバ証明書をサーバに設定する作業は誰でもいいけど。

例えば文科省がサイトを作るとして、どこかSIerなどに発注するだろうが、文科省のサイトを名乗る以上、文科省が確保したドメイン文科省が申請して審査を受けて発行されたSSL証明書を使っていなければおかしい。どっかのSIerのサイトで「文科省でござい」みたいに運営されていたら、何を信じればいいのっていう話になる。オレも元SIerの中の人なので経験済だが、ドメインサーバ証明書の確保は顧客作業だあるため、スケジュールに合わせて何度もフォローしていた。

 

今回は、まさに例と同じことが起きている。海老名市の施設のサイトなのにCCCが持っているドメインにCCCが『ドメイン名所有権の確認」、「申請責任者の権限の認証」、「企業実在性の認証」』を受けている。CCCのものであることは高いwレベルで証明されるが、海老名市のものであることは証明されていない。サーバ証明書と関係ない世界で、CCCが海老名市立図書館の運営を受託していることは知れているので、この一点だけでは攻めどころが難しいが。

 

証明書は2015年12月9日発行なのだが、いつからEV SSL証明書に切り替えたんだろう。

f:id:shigeo-t:20160217040547p:plain

海老名市立図書館がサイトオープン時に、XSS脆弱性大喜利会場になっている時は、確かにEV SSL証明書ではない。大喜利状態は2015年10月1日だし。10月1日から12月9日の間はどうなってたんだ問題はある。

大喜利猿----小林賢太郎×升野英知

大喜利猿----小林賢太郎×升野英知

 

<追記>

2016/02/17 10:25追記

下記、ご教示頂いた。

 </追記>

 

そんなわけで、今のところこの一点だけでは下記の通り。

でも「汎用jpのEV SSL証明書って」という話にはなる。 手続き的にはCybertrustだけじゃなくGeoTrustやSymantecなんかでも同じ手続きだろうし。EVの意味が無いとも言える。OV SSL証明書でも変わりないじゃん。

結局、 

 って話だろうな。

 

で、武雄市図書館はlg.jpなんだよな。なんで海老名だけ?多賀城はどうなる。

佐賀市・唐津市・鳥栖市・武雄市の高卒程度 2016年度版 (佐賀県の公務員試験対策シリーズ)

佐賀市・唐津市・鳥栖市・武雄市の高卒程度 2016年度版 (佐賀県の公務員試験対策シリーズ)

 
お時間あったら、他のエントリもクリックして頂ければ幸いです。