おまぬけ活動日誌

最近のツッコまれどころ

この日誌から Google してもらう


2005年02月01日(Tue) また雪だって [同日]

そして僕は寝坊…

[memo] 巷のWWWブラウザには実在証明のないSSL証明書を認証するルート証明書がすでに入っている

先日、yamk日記で、セキュリティ証明書を無償で発行する認証機関、CAcert.orgの証明書を巷のブラウザのルート証明書として入れてほしい、という話題がありました。 サービスを提供する側としては、既存の認証機関から高い証明書を買う必要がない、というのはうれしいことなのだけれど、例えばクレジットカードを入力する時に実在証明の無いWWWサイトに入力するのは避けたいので、利用者の面からはあまりいい加減な認証機関の証明書は入れてほしくないな、と思ってました。

ところが、tachのアレゲ日記より、SSL証明書には既に簡易証明書と実在証明もついた証明書があるという指摘。確かに、 https://www.valinux.co.jp/のSSL証明書とhttps://sourceforge.jp/の証明書には違いがありました。

まず、https://www.valinux.co.jpの証明書には、Subjectとして、

CN = www.valinux.co.jp
O = VA Linux Systems Japan K.K.
L = Chiyoda-ku
ST = Tokyo
C = JP

と書いてあります。ふむふむVA Linux Systems Japan K.K.は千代田区にあるのか。

一方、sourceforge.jpはどこにあるかというと、

CN = sourceforge.jp
OU = Domain Control Validated
OU = See www.geotrust.com/quickssl/cps (c)04
OU = https://services.choicepoint.net/get.jsp?2936769041
O = sourceforge.jp
C = JP

どこにもなーい。どちらの証明書も、Issuerは、

OU = Equifax Secure Certificate Authority
O = Equifax
C = US

でした。

僕のFirefoxにはこの認証機関の証明書が入っているので、上のページはどちらも警告のダイアログを見ることなしに閲覧することができます。

ということは。現時点ですでに、httpsの通信先が実在する企業である保証は、サイトの証明書を詳しく見ない限り、無いわけですね。これは知らなかった。オンラインショッピングなどをする場合には、httpsでつながっていることを確認するだけでは不十分(意図したホストに暗号化された通信路でデータを送信していることはわかっても、そのホストが意図した企業によって運営されているか確認できない)で、サイト証明書をちゃんと見た方がいいみたいですね。

勉強になった。オンラインショッピングなんてしないけど。

(追記)tachのアレゲ日記でとりあげていただきました。「これ(実在証明のない SSL サーバ証明書)自体は価値がないわけでなく,」とのこと。その通りだと思います。sourceforge.jp/orgは僕もよく利用させていただいてるし、通信路が暗号化されているので安心です。気になったのは、サイトの証明書の詳細を見ないと、そのサイトが、クレジットカード情報を送るに値するちゃんとした会社なのか、ネットワーク上だけの存在なのかわからない、ということです。


作り手とその取り巻きだけが楽しんでる間は本物じゃない。その中身が理解できない人々の生活を変えてこそ本物だ


zunda <zunda at freeshell.org>