アカウント名:
パスワード:
証明書の値段そのものよりも、期限切れの証明書を保守し続けるコストの方が気になります。
ひどいサイトだね。怖くて近寄れん。
CP/CPS のようなものは一応書いてあるものの、3行だけ。
・ルート証明書は、通信路の暗号化、サーバ証明書による IPA側のWEBサーバ(e-ipa.ipa.go.jp)の認証、クライアント証明書による申請者クライアントの認証を行なうために使用されます。 ・サーバ証明書とクライアント証明書は、IPAが電子的に申請、応募、応札等を受理する目的で使用されます。 ・IPAでは、ルート証明書の秘密鍵の管理については、十分注意を致します。 ルート証明書のダウンロードとインストール [ipa.go.jp]
安全な通信を行うための証明書についての詳しい説明 [mof.go.jp]の3.あたりに、フィンガープリントを確認したうえで、財務省が発行する証明書をブラウザに登録してください、などとありますが、、、。
#よくわかってなくて恥をさらすようでも ID
財務省の電子申請システムも、第三種オレオレ証明書になるのかな。
ご利用方法:安全な通信を行うための証明書に関する手順/フィンガープリントの確認 [mof.go.jp] を見ると、これは危険な確認方法を提示しているので、「インストール方法として安全な手段が用意されていないもの」に該当するでしょう。
ググってみた。このへんかな。
[memo:3458] 総務省「電子申請・届出システム」のセキュリティ上の問題点 [ryukoku.ac.jp] セキュリティホールmemo 2002.3 総務省「電子申請・届出システム」は信頼できるか [srad.jp] wakatonoによる 2002年03月29日 15時38分の掲載 <電子政府>総務省の認証基盤に欠陥 個人情報盗用も [mainichi.co.jp] 毎日新聞ニュース速報 2002年10月31日 総務省:「電子政府に100%の安全はなく、やむを得ない」 [srad.jp] Oliverによる 2002年11月02日 2時25分の掲載 GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策 [ryukoku.ac.jp] セキュリティホールmemo 2002.11
一方、総務省大臣官房企画課の阿向泰二郎課長補佐は、毎日新聞の取材に対し.... 「仮に電子申請システムのルート証明書が、通信上で改ざんされ、改ざんされたルート証明書がユーザーのブラウザに組み込まれたとしても、電子申請システムのサイトに接続すれば、『信頼できない』としてはじかれるわけで、ユーザーは問題を認識できるはずだ」と主張。
「仮に電子申請システムのルート証明書が、通信上で改ざんされ、改ざんされたルート証明書がユーザーのブラウザに組み込まれたとしても、電子申請システムのサイトに接続すれば、『信頼できない』としてはじかれるわけで、ユーザーは問題を認識できるはずだ」と主張。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
証明書の取らせかた (スコア:2, 興味深い)
この手の隙をついた攻撃があまり無いから具体例として被害の例も挙げることが出来ないですし、イマイチ良い説得方法が見付かりません。
...みなさんどうやって説得してるんですかね?
Re:証明書の取らせかた (スコア:1)
詳しい図解入りの説明書作ったって良いだろうし、解説しているサイトに誘導するのでも良いのでは?
口で言ってまくし立っても、それをイメージ出来ていない奴がぱっとイメージ出来る訳ないよ。
言われた方が上司を説得するにしても、資料が無いと説明し難いだろうし。
Re:証明書の取らせかた (スコア:0)
タダで取れるならともかく、結構な額がかかるものですから、結局予算の話の中でコストとリスクを評価されて、真っ先に削られる候補になるんです...。
Re:証明書の取らせかた (スコア:3, おもしろおかしい)
だから証明書の購入コストってのは全然大したこと無いと思います。
ただ、証明書の値段そのものよりも、期限切れの証明書を保守し続けるコストの方が気になります。
一つのプロジェクトで最初にかかるコストが数千や数万円かかるくらいはたいしたことがないと思います。
でも証明書の更新ってのは1年後か長くても数年後には確実に来るものです。
そしてその頃当時のメンバー(特に証明書のことをきちんと分かっている人)が居るかどうかは分かりませんし、更新時期
Re:証明書の取らせかた (スコア:0)
ひどいサイトだね。怖くて近寄れん。
Re:証明書の取らせかた (スコア:0)
例えば IPA セキュリティセンターの脆弱性関連情報の届出 [ipa.go.jp]が活用されると状況も変わってくるんじゃないかな。
# IPA から修正依頼が何度か来たので AC
Re:証明書の取らせかた (スコア:1)
CP/CPS のようなものは一応書いてあるものの、3行だけ。
Re:証明書の取らせかた (スコア:1)
安全な通信を行うための証明書についての詳しい説明 [mof.go.jp]の3.あたりに、フィンガープリントを確認したうえで、財務省が発行する証明書をブラウザに登録してください、などとありますが、、、。
#よくわかってなくて恥をさらすようでも ID
Re:証明書の取らせかた (スコア:0)
ご利用方法:安全な通信を行うための証明書に関する手順/フィンガープリントの確認 [mof.go.jp] を見ると、これは危険な確認方法を提示しているので、「インストール方法として安全な手段が用意されていないもの」に該当するでしょう。
Re:証明書の取らせかた (スコア:1)
ところで、これの確認方法どのあたりが危険なのでしょうか?
比較するフィンガープリントを暗号化されていない(改ざん対策されていない)ページに載せていること?
Re:証明書の取らせかた (スコア:1, 参考になる)
>比較するフィンガープリントを暗号化されていない
>(改ざん対策されていない)ページに載せていること?
ググってみた。このへんかな。
[memo:3458] 総務省「電子申請・届出システム」のセキュリティ上の問題点 [ryukoku.ac.jp] セキュリティホールmemo 2002.3
総務省「電子申請・届出システム」は信頼できるか [srad.jp] wakatonoによる 2002年03月29日 15時38分の掲載
<電子政府>総務省の認証基盤に欠陥 個人情報盗用も [mainichi.co.jp] 毎日新聞ニュース速報 2002年10月31日
総務省:「電子政府に100%の安全はなく、やむを得ない」 [srad.jp] Oliverによる 2002年11月02日 2時25分の掲載
GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策 [ryukoku.ac.jp] セキュリティホールmemo 2002.11
Re:証明書の取らせかた (スコア:0)
Re:証明書の取らせかた (スコア:1)
万が一 (攻撃者にとって万が一、ですよ) ユーザが正しいサイトにつなげて
しまったとしても、警告も出ないのでは?
ルート証明書の一覧を確認すれば載ってますが、普通は気づかないでしょう。