名古屋市のサイト、証明書期限切れ 69
ストーリー by nabeshin
今年度の予算にありません! 部門より
今年度の予算にありません! 部門より
nesuke 曰く、
タレコミ人が問い合わせフォームを利用していて気が付いたのだが、名古屋市の公式サイトに導入されている証明書の期限が切れている。
・名古屋市のサイト
https://www.city.nagoya.jp/(アクセスすると期限切れ表示に)
電子申請用のページに導入されている証明書は期限内のため、大きな問題になっていないのかもしれないが、毎度毎度お役所の方々は何をされているのか……。期限切れの証明書を使った問い合わせフォームからその旨指摘しておいたがいまのところ返事は無い。過去にも似たような事が良く起こっているが、何故これらの証明書に絡む諸問題は重視されないのだろうか?
理解できないのなら使うべきではない (スコア:5, すばらしい洞察)
今回のお役所に限らず、オレオレ証明書で「警告が出たらOKを押せ」と顧客に要求する企業も、セキュリティ証明書の意味が根本的にわかっていないのでしょうね。
理解できないからといって「こんなものどうせたいして意味がないんだよ」とうそぶくのなら最初から使わずにいてくれる方がまだマシです。
社会的に影響の大きい立場の人たちが「OKを押せばいいんだ」と利用者に教え込むことで、他の本当に危険なサイトに出くわしたときに、利用者がその危険を把握できなくなるのですから。
#どうもえらい人ほど、「お前の言っていることを俺が理解できないのは、お前の説明が悪いからだ」「俺の言っていることをお前が理解できないのは、お前の頭が悪いからだ」という思考になるようで、困ったものです。
残念ながらそう思う市民は少数派なのです (スコア:1, すばらしい洞察)
じゃなきゃ困るわ。
お役所がやってくれなきゃ私たち安心して任せられないじゃない。
残念ながら、常時思考停止という市民のほうが多数派なのです。
そしてそういう市民を満足させるには、実質や本質よりも、わかりやすいお題目のほうが有効なのです。
>社会的に影響の大きい立場の人たち
とは、まさに市民であるということに市民自らが気付き、目覚めない限り、社会は良くはなりません。
Re:理解できないのなら使うべきではない (スコア:3, すばらしい洞察)
Re:理解できないのなら使うべきではない (スコア:2, すばらしい洞察)
ええと、逆に聞きたいんだけど、ルート証明書のインストールってレジストリをいじる必要があるの?
外部からレジストリを操作されて、望まないのに勝手にルート証明書がインストールされるとかいう話ならそもそもサイトの安全性がどうとか言う以前の問題だし。
Re:理解できないのなら使うべきではない (スコア:1, すばらしい洞察)
すぐ後ろに書いてある文を、わざわざ外して引用しているあたりに、あなたのNapper氏に対する敵意が見て取れます。
まあだからといってSSLの証明書なんてのは、ブラウザメーカと証明書発行会社の利権と妄想とか言い出すのはちょっとどうかなと……
あなたにも「こんなものどうせたいして意味がないんだよ」とうそぶくのなら最初から使わずにいてくれる方がまだマシと言いたいです。
というか、使わないでください。絶対に。
<独り言>
なんでこんな「レジストリをごにょごにょしたりすれば、簡単にルート証明書をインストールしたりもできます」って言いたいだけのコメントが(スコア:1, すばらしい洞察)になるの? このモデレータ、頭大丈夫か?
</独り言>
Re:理解できないのなら使うべきではない (スコア:3, すばらしい洞察)
まぁ、恣意的に選別されたThawteを信頼しないならどこか信頼できる経路を探してもかまわないけど。
Re: (スコア:0)
馬鹿の典型(笑い)
実印と認め印の違い (スコア:2, すばらしい洞察)
認め印についてはおっしゃるとおりですが、実印の場合は実印を押した文書と共に
印鑑証明書の添付が求められ、印鑑証明書には通常、発行後3ヶ月以内という有効期間が
あります。
役所に提出する書類で、印鑑証明書の期限が切れていると、即座に取り下げを求められます。
たとえて言うと、実印を押した文書は、きちんとした認証局が発行したルート証明書を持つ
証明書付き文書に相当し、名古屋市は役所にもかかわらず有効期限切れ印鑑証明書を公然と
使い続けていると云ったところでしょうか。
宮崎県よりはましかも (スコア:5, 参考になる)
https://www.pref.miyazaki.lg.jp/index.htm [miyazaki.lg.jp]
IE7の表示
「この Web サイトで提示されたセキュリティ証明書は、信頼された証明書機関から発行されたものではありません。」
「この Web ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません。」
「この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたものです。」
おまけに、現在Webサイトの管理は、広報広聴課のはずなんですが、証明書の発行対象の部門名(OU)はInformation Administration Division → 情報政策課になってます。
Re:宮崎県よりはましかも (スコア:5, おもしろおかしい)
Re:宮崎県よりはましかも (スコア:5, おもしろおかしい)
Re:宮崎県よりはましかも (スコア:1)
2月更新の自治体は多いんでしょうかねぇ?
#どんだけー
2月更新は多いです (スコア:2, 興味深い)
まず、システムの稼動が4月からと決まります。ソフトウエア類は構築のため遅くとも2-3月には必要なので
保守開始やライセンス発行も2-3月となります。
すると翌年2-3月に保守更新となってしまうのです。
ややこしいのは役所の帳簿上保守開始が稼動開始の4月と書いてあったりする場合。
保守更新の注文がぎりぎりまで出来ず、2月に注文書が来ない = 保守切れの発生となる
事が時々ありますね。
昨年度は予算がようさん余ってました (スコア:0)
この時期だと昨年度は「予算の消化」のために証明書買ってみたんじゃないかと勘繰って
しまいますね.
ところでタレコミの
> 期限切れの証明書を使った問い合わせフォーム
ってどこのことでしょう?市政については「市民の声」 https://koe.city.nagoya.jp/ [nagoya.jp]
のフォームからの問い合わせできるようですが,こちらの証明書は5月まで有効のようです.
ウェブページについては,「名古屋市 市民経済局 地域振興部 市政情報課 情報提供係」
まで郵政メール・電話・FAX か, webmaster へ電子メールで問い合わせを受け付けている
ようです.
Re:昨年度は予算がようさん余ってました (スコア:3, 興味深い)
>> 期限切れの証明書を使った問い合わせフォーム
>ってどこのことでしょう?
私は名古屋市のサイトのRSSを購読していて、各ページに直接飛んでいるのですが、
それらのページに問い合わせフォームへ移動するボタンが付いているのです。
例えばこことか>http://www.city.nagoya.jp/kurashi/todokede/todokede/nagoya00050698.html
(ページ下部にもフォームがあるけど、これはWEBページ自体についての問い合わせで、ページに記載されているニュースやお知らせについては別に用意されている問い合わせフォームへ移動せよという構成)
しかも、
問合せ先からの返信が必要な場合は、必ず本文内に連絡先(電話番号、電子メールアドレスなど)を記載してください。
等と書いてあるので、おいおいやベーよ。と思ってhttps://としてから再度アクセスした時に判明したんです。
#そもそも標準で暗号化してないのは(YahooやMixiのログインページもそうだけど)どうかと思う。
Re:昨年度は予算がようさん余ってました (スコア:2, 参考になる)
Yahoo!JAPAN はのログイン画面では、パスワードは生で送信せず、
JavaScriptベースでMD5によるチャレンジ&レスポンスをやってます。
Re: (スコア:0)
Re:宮崎県よりはましかも (スコア:1, 参考になる)
とおもったら、
「県民の声 [miyazaki.lg.jp]」のページから「送信する」で使ってますねえ。これはひどい。
Re:宮崎県よりはましかも (スコア:1)
期限切れって当たり前じゃんか、もうどこの自治体も第二世代に切り替えてて更新できないんだし。
ここ [microsoft.com]に書いてあるように、サポート中のWindowsのIE向けに第二世代のLGPKIのルート証明書を配信しているので、(IEを使っている場合に限り)最近は自治体の「オレオレ証明書」はほとんど見なくなったな。
Re: (スコア:0)
Re: (スコア:0)
Re:宮崎県よりはましかも (スコア:2, 興味深い)
Firefoxだと警告が出るけどね。
いや、だから、 (スコア:4, おもしろおかしい)
Re: (スコア:0)
予告が出るようにならないものだろうか? (スコア:3, 興味深い)
証明書自身に期限があるなら例えば1ヶ月前から警告を出してくれるとかなり助かる人も多いのではないでしょうか?
#あ、でもこれは証明書の問題というよりはそれを利用するブラウザが対応するか否かの問題だな。
Re:予告が出るようにならないものだろうか? (スコア:3, 参考になる)
私の取引先が契約していたベリサインの場合、期限切れの60日前に
担当者にお知らせメールが送られてきていました。
もちろん証明書の種類によって日数が違う可能性もありますから、参考程度まで。
Re:予告が出るようにならないものだろうか? (スコア:3, 参考になる)
ただ、ドメインと違って証明書は書類だ何だと手間がかかりますから、(審査も料金振り込み後のことが多いし)少し事務に手間取るとあっという間に2ヶ月くらい過ぎてしまいます。(手際が悪いというのはその通り。)
あと、間に合わないのに気づいても、実際に証明書が発行される(手続きの進行中)までは為す術がないので、中の人にとっては恐縮しながら待ち続けるしかない、というのもあります。
まあ、問い合わせには誠意を持って返答してほしいですね。
# 期限過ぎてしまったことがあるのでAC
Re:予告が出るようにならないものだろうか? (スコア:2, すばらしい洞察)
役所の場合は引き継ぎも無しに担当が変わることが多いので、予告メールが来ても無視したか何のことだか分からなかったとか、ありそうです。
分かっててもインストールの方法が分からなかったとか。。。
Re:予告が出るようにならないものだろうか? (スコア:1)
やっぱりそういったメールが届いているはずなのに手続きができていないってことですね。
ドメイン名とセットで更新手続きできると楽なんですけどねぇ。
Re:予告が出るようにならないものだろうか? (スコア:2, 興味深い)
担当者によっては、英文メールはspamだと決めつけて読まない人もいたりして・・・
Re:予告が出るようにならないものだろうか? (スコア:1, 参考になる)
SSL証明書とドメイン両方の期限がチェックできるので、そこそこ便利。
# 認証局からのメールは SPAM 判定されやすくて、以前見逃した経験あり。
Re: (スコア:0)
登録アドレスは普段使いのものと別にしておけば混ざることもない
Re:予告が出るようにならないものだろうか? (スコア:1)
証明書が無効になる前に何らかの形で担当者のケツに蹴りを入れる機会が増えるのは良いことです。
期限切れ予告を出すと同時に期限切れの証明書のサイトには絶対に接続しないようにブラウザが対応すればなお良し。
そのサイトは誰も見ていない (スコア:3, 参考になる)
Re:そのサイトは誰も見ていない (スコア:1)
こっち [srad.jp]にも書いたのですが、
各お知らせページ等に、「お問い合わせフォームへ」というボタンがあって、その先が問題なんです。
SSLにわざわざ切り替えてからフォームで送る人はそう居ないのかもしれないですが、
証明書に不備があるってことは、偽サイトかどうかの判断も出来ないし、
SSLに切り替え無いような人たちが地方自治体のサイトだと信頼して
個人情報をそのまんま送ってしまうという事が常態化しているわけですよね?
#結構怖い事だと思うんだけどなぁ
Re:そのサイトは誰も見ていない (スコア:1)
参照ページを見た限りでは、これはフォームを使ったメールであって、メールはネット上を平文でやり取りされるものだから個人情報書いたらまずいよ、ウェブサーバーとメールサーバーが同じ処にあるかどうかわからないんだし。サイト全体の問い合わせもメールっぽい。じゃあどうすればいいのっていう返事に回答できるだけの知識は無いのですが…、電話? 郵便?
脱線 (スコア:0)
予算以前…つーか常識の範疇 (スコア:3, 興味深い)
ものの見事にスルーされた上、数日後には証明書自体が使われなくなっていました…
サーバ証明書の値段なんてしれてるんだし、それすらケチる企業とは関わり合いたくないわ
電子署名とか使わないのか (スコア:2, 興味深い)
最近は安くなりました。本人確認もメールが届けばOKだし、法人の場合後払いでもOKだし。
ただ、ある特殊法人の場合、「見積書」「請求書」「納品書」が必要で、PDF で送ってもらって印刷して会計に回すんだけど、PDF は「セキュリティなし」、印影は画像貼り付け。うーん、こんなんでいいのかな。でも、おいらが改ざんしてもメリットないし。
#何かメリット考えよう。
Re:電子署名とか使わないのか (スコア:1, 興味深い)
結局「空出張」とか不正会計はやろうと思えばやれるものですよね。
電子データのまま、Acrobatフォームで完結させるならともかく、
一度印刷したものを正と見なすとなれば、電子的にはどんなセキュリティをかけても、
印刷する人間に悪意がある限り防ぎようが無い気がします。
それを心配するならば、PDFの送り方(郵送、暗号化、無闇にCCにしない等)
のほうが重要になるくらいでは?
#詳細知らないので、実はすごくクリティカルだったらすみません
Re: (スコア:0)
どうせ相手が誰かなんて気にして連絡してないでしょう?
期限切れメール (スコア:2, 参考になる)
まさか内製してるとは思えないのですが。
Re:期限切れメール (スコア:1)
Re:期限切れメール (スコア:1)
1ヶ月放置は長いかも (スコア:2, 参考になる)
たまにというか、1年に一度は切れているのを見かけるような気がする。
最近、Google も別のサーバー証明書を代用していて
警告が表示されてました。
有効期限を長くすると担当者が変わった際に
忘れ去られるので、自分が管轄のサイトは
1年単位で恒例行事という事で更新しています。
最近は、更新代行をしてくれるホスティングサービスもあるようで。
トップページ>ご意見・お問い合わせ>市民の声:暗号化(SSL)対応版 は大丈夫 (スコア:1)
moraの件もこれなのかなぁ (スコア:1, 参考になる)
Re:moraの件もこれなのかなぁ (スコア:1, 参考になる)
名古屋市からメールで返信がありました (スコア:1)
ということでSSLへの対応そのものは比較的早かったのでちょっと関心しました。
帰ってきたメールの一部抜粋。
このたび、あなたからお寄せいただきました件につきましては、次のとおりお答えいたします。
このたびは、SSL証明書の期限切れについてご連絡いただき誠にありがとうございます。
証明書の期限切れにつきましては、早速証明書の更新作業を開始し、2月26日午後8時55分に作業を終了いたしました。ご迷惑をおかけし大変申し訳ございませんでした。
今後はこのようなことがないよう適切な運営に努めてまいりますので、引き続き、名古屋市公式ウェブサイトをご利用いただきますようよろしくお願いします。
(担当課 市民経済局市政情報課 電話052-972-3152)
捨てるつもりだったという可能性はあるんだろうか? (スコア:0)
何らかの原因で将来に見送りになって、でも期限切れになるのは忘れたままになったとか…