e-TaxのWebサイト、Firefoxでは信頼できないSSL証明書を使ったサイトと認識される 62
ストーリー by hylom
紆余曲折 部門より
紆余曲折 部門より
あるAnonymous Coward 曰く、
昨年、還付金に目が眩んで e-Tax に登録してしまったのだが、つい先程のこと e-Tax を名乗るメールが届き申告のお知らせがあるので http://www.e-tax.nta.go.jp/ へ行ってメッセージボックス一覧表示を確認するようにと案内があった。
そこで早速、e-Tax のページへ飛び、指示のあったメッセージボックス表示 とやらを確認に行ったのだが、なんと SSL 証明書が sec_error_untrusted_issuer と警告されてしまい面食らっているところである。
よりにもよって国税庁のe-Tax関連サイトで独自書名というのは有り得ないにも程がある上、ガンブラーの亜種が猛威をふるっていると伝え聞く現状では、遂に国税庁までもが陥落してしまったのか?と疑いたくなってしまう。
まさか、本当に陥落してしまった訳ではないとは思うのだが、国税庁の一体何を考えているのか頭を抱えるばかりである。
コメントでも指摘されているが、政府や地方自治体が使用しているGPKIやのルート証明書がFirefoxにはプリインストールされていないのが問題となっているようだ。
Firefox 3.6で修正されます (スコア:5, 参考になる)
Firefoxをお使いなのだと思いますが、まもなくリリースされるはずのFirefox 3.6で修正されます(という表現でいいのかな? とにかくオレオレ証明書ではなくなります)。インストーラの署名を確認して、かつVeriSignを信用できるなら問題は解決します。
Firefox 3.5系では、3.5.8で修正が入るかもしれません。
いや本当に長かった…。
参考: bug 5363 - GPKI・LGPKI・JPKIなどのルート証明書を Mozillaの証明書ストアに含めてほしい [mozilla.gr.jp]
Bug 474706 - Add Japanese Government Application CA Root [mozilla.org]
Bug 523434 - Add "ApplicationCA - Japanese Government" root certificate to NSS [mozilla.org]
Bug 527759 - Add multiple roots to NSS (single patch) [mozilla.org]
補足 (スコア:4, 参考になる)
これだとまるでFirefoxが一方的に悪いみたいなので(まあGPKIの証明書がWebTrustの認証を受けて [cocolog-nifty.com]からこんなに時間がかかったのは確かに悪かったのですが)、いったい何がどうなっているのかについて、とりあえず過去のストーリーを貼っておきます。
総務省「電子申請・届出システム」は信頼できるか [srad.jp]
総務省:「電子政府に100%の安全はなく、やむを得ない」 [srad.jp]
政府・官公庁の証明書をMSがWindows Updateで配布 [srad.jp]
別に悪者探しするきはないのだけども (スコア:1, すばらしい洞察)
>これだとまるでFirefoxが一方的に悪いみたいなので
そうおっしゃいますが
この流れを追いかけると、少なくとも今回は総務省に落ち度はないように思いますが、違うのかな?
今回の件で総務省に落ち度があったとすれば何だろう。
Re: (スコア:0)
> 今回の件で総務省に落ち度があったとすれば何だろう。
IEにしかルート証明書がインストールされていない状態では第五種オレオレ証明書 [takagi-hiromitsu.jp]であるにもかかわらず、電子政府でGPKIの証明書を使用することを義務付けるような運用を強行した点でしょうか。IEでしか動かなくていいならともかく、確かベンダーロックインを避けるという趣旨のガイドラインもあったはずです。Windowsでは不便であるにもかかわらず政府調達周りのアプリがほとんどすべてJavaで開発されるのもそのためですし。
Re: (スコア:0)
当初、第三者による検証を受けていなかったこと。
だから
って言ってるんじゃん。
Re: (スコア:0)
WebTrustの認証はかなり昔に受けているので、今回の件には関係ないように思いますが?
Re:別に悪者探しするきはないのだけども (スコア:1, 興味深い)
今回のサーバ証明書の発行日が2008年02月01日
WebTrustの検証報告書が2008年10月22日
(3.6が今月リリースできるとして)Firefox収録が2010年01月
なので、e-Taxが8ヶ月のフライング。Mozillaが1年3ヶ月の遅延。
Re:補足 (スコア:1, すばらしい洞察)
Re: (スコア:0)
>まもなくリリースされるはずのFirefox 3.6で修正されます
いつ出るのかってご存じでしょうか?
# e-taxの話なのでバレンタインからホワイトデーの間に
# 解決しないと困るよね。ってことで。
Re:Firefox 3.6で修正されます (スコア:2, 参考になる)
> いつ出るのかってご存じでしょうか?
日本時間では、明日の午前2時にリリースとのことです。
http://journal.mycom.co.jp/news/2010/01/21/030/index.html [mycom.co.jp]
IEで見られて、Firefoxで見られないなら (スコア:2)
違います (スコア:0)
日本政府を信用するなら (スコア:1)
こちらから [gpki.go.jp]認証局の公開鍵をダウンロードするのです。
#が、フィンガープリントの確認先が同じくだよ。オイオイ!
Re:日本政府を信用するなら (スコア:2, 参考になる)
たとえ日本政府を信用できても、httpでは途中の経路を信用できるとは限らないと言う問題があります。
# かといってhttpsでアクセスすると同じオレオレ証明書の警告が表示されるという鶏と卵問題が…
Windows限定ですが、IEから証明書をインポートしてきた方が安全かもしれません(Firefox 3.5以前やOperaの場合)。Windows版のSafariやChromeはIEと共通の証明書ストアを使うようです。
Re:日本政府を信用するなら (スコア:2)
> たとえ日本政府を信用できても、httpでは途中の経路を信用できるとは限らない
が、日本政府が「信用しろ」と言ってるようなので、そこまで含めて「信用するなら」ってこと。
ただ、その日本政府も「フィンガープリントで確認せよ」とも言ってるので、自分がダウンロードした DER ファイルのフィンガープリント貼っときますね。
$ openssl dgst -sha1 APCAroot.der
SHA1(APCAroot.der)= 7f8ab0cfd051876a66f3360f47c88d8cd335fc74
#何となく、合ってるような気がするが、、、
Re:日本政府を信用するなら (スコア:1, 参考になる)
http://www.gpki.go.jp/apca/apca_self.html
Re:日本政府を信用するなら (スコア:2)
PDFにも署名がされてません!!
Re: (スコア:0)
> が、日本政府が「信用しろ」と言ってるようなので、そこまで含めて「信用するなら」ってこと。
「信用しろ」と言っている相手が本当に日本政府であるかどうかが定かではありません。
たとえて言うなら、電話口で「税務署ですが、税金の還付が発生しましたので最寄のATMまで携帯電話を持ってお越しください」とか言われている状況なわけです。
日本政府が「電話口で税務署だと名乗ったら税務署だと信用しろ」と言っているのだから信用する、という考え方もあるかもしれませんが、ふつうは日本政府を信用できなくなるのではないでしょうか。
Re:日本政府を信用するなら (スコア:2, 参考になる)
Microsoftを信用するなら、IEもしくはIEの通信コンポーネントを使ったブラウザ(Chrome)で一度アクセス(これでルート証明書が自動更新される)した後、
Japanese Govenment/ApplcationCAのルート証明書をエクスポートしてFirefoxでインポートすればいいよ
どうかしてる (スコア:1, すばらしい洞察)
e-Taxを使用するのにFirefoxを使用するほうが、どうかしてる
Re:どうかしてる (スコア:1)
私のメールボックスにもトピ主と同じメールが来ていて、Internet Explorerで見ろという注意書きもないメール本文のリンクを踏むとこんな画面 [jpgmp3.jeez.jp]が表示されました。
こんな画面を見てもuketsuke.e-tax.nta.go.jpの証明書を信じられるかどうかを一般の人が判断できるとは思えません。
Firefoxのルート証明書ストアにGPKIのルート証明書が入っていないという予備知識があって、「また官庁のオレオレ証明書か」と苦笑いしながら「例外として取り扱う」のリンクをたどってメッセージまでたどり着けるのは、今までの電子政府のプロジェクトで経験を積んだ人だけです。
Re: (スコア:0)
なんで?
Re:どうかしてる (スコア:1)
公共機関はWindows/IEしか対応してないのが常識だと思ってたから、他にも使えるのがあると知ってビックリ!
the.ACount
Re: (スコア:0)
元コメはヒトバシラーを称えているだけの話。
もし「どうかしてる」というのが称えているように聞こえないとしたら、
あんたにゃヒトバシラーたる素質が無いというだけの話。
Re: (スコア:0)
肝心のNSSは? (スコア:1)
Firefox 3.6に間に合わせようとしてFirefox 3.6のNSSにはつっこんだみたいだけど、単独で配布されるNSS [mozilla.org]は現在3.12.5で、GKPIには3.12.6で対応のように見えます。
NSSを別パッケージとしてリンクするようなLinuxディストリビューションだと、Firefoxは3.6だけどNSSは3.12.5でGKPIに対応できていない、ということになりそう。
NSS 3.12.6のリリース予定に関する情報は、どこかにあるのだろうか。
Re:肝心のNSSは? (スコア:1)
s/GKPI/GPKI/g
IE(Windows) では無問題 (スコア:0)
IE(Windows)では問題ないってことも書いといた方が良くない?
他の環境ではどうだろう。
Re:IE(Windows) では無問題 (スコア:1)
オレオレで結構 (スコア:0)
オレオレよりも信頼できると考える理由がわからない。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
ルート証明書を信頼済みにしたIEがインストールされます。
で、そういうルート証明書がオレオレ証明書より信用できる
理由はどこにもないと思うのですが、どうでしょう。
オレオレ証明書を信用しろといってるのではなく、
正規の証明書もオレオレと全く同様に、信用しないのが
いいのではないかと思うのです。
Re: (スコア:0)
突き詰めるなら、ブラウザなどにプリインストールされている証明書はいったん全て削除し、信頼できる証明書を自分で選定してインストールすべきですね。
以前Comodoの再販業者が、身元確認もせずに正規の証明書を発行して問題になっていました [srad.jp]し。
# 面倒なので僕はやってません
Re: (スコア:0)
私だったら、友人Aを信頼していたとしても、
彼が「こいつは大丈夫」と太鼓判を押すB氏を
Aと同等に信頼することは出来ません。
Re:オレオレで結構 (スコア:2, すばらしい洞察)
「こいつは大丈夫」って意味じゃなくて「こいつはB氏本人です」って意味に過ぎませんよ。
B氏を信用するかどうかはあなた次第。信用しないなら、そのサービスを利用しなければいいだけです。
Re: (スコア:0)
おっしゃるとおり。勘違いしてました。
問題は、認証局そのものを信用していいものかどうかが
わからんというところだった、というわけですね。
Trusted AuthoritiesにはいってるAAAとかいう
名前を聞いたこともない会社が、この人はBさんですと
保障してくれても、だから何? と。
# まだ何か間違ってるかな...
Re:オレオレで結構 (スコア:1, すばらしい洞察)
あなたにとっては名前を聞いたことがない会社かもしれませんが、
ブラウザの開発元が「信用していいよ」っていってる組織なのです。
それすら信頼できないというのは単に価値観の話ですが、少なくともオレオレ証明書と同等だとは思えません。
「ルート証明書もオレオレ証明書と同様に信頼できない。」
A:「だから、すべてのサイトで秘密情報を一切送信しない。」
B:「だから、オレオレ証明書のサイトでも躊躇なく秘密情報を送信する。」
Aならともかく、Bは無いと思います。
Re: (スコア:0)
ああ、失礼。正規の証明書も信用しないという流れでしたね。
サブジェクトだけ見て勘違いしました。
それはそれで、ひとつの考え方だとは思いますが、
個人的には失うもの(オンラインショッピングの便利さとか)が多すぎると思います。
少なくとも通信経路中で盗聴されていないことは保証されるわけですし。
Re: (スコア:0)
仕込んだりはしないだろうという意味での信頼で、
彼らに認証局が信頼できるものかどうかを判定する能力が
あると考えているわけではない、としたらどうでしょうか。
私のスタンスは、秘密情報を送信するかどうか判断する際に
証明書がオレオレかどうかは判断材料にしない、です。
どなたかが書いてましたが、プリインストールのルート証明書を
全部消すのと同じイメージ。BよりはAに近いか、と。
Re: (スコア:0)
信頼できる相手でないとできないような通信なら、どっちにしても
証明書は自分で確認しなきゃ、と思います。
オンラインショッピングも使いますが、それは店を信用しているわけではなく、
もしもクレジットカード番号が漏れて悪用されたとしても、
こちらに大きな過失がなければクレジットカード会社の保険でなんとかなる
との考えからです。
実店舗を構えた店でカードを使うときも、同様に店はぜんぜん信用してません。
Re: (スコア:0)
通信経路中での盗聴がないのはオレオレでも同じじゃありませんか?
いいえ。 PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」 [takagi-hiromitsu.jp]
例えば、中間者攻撃を受けていた場合でもオレオレ証明書が表示されます。
信頼できる相手でないとできないような通信なら、どっちにしても
証明書は自分で確認しなきゃ、と思います。
わざわざ自分で確認するまでもなく、ブラウザが「偽サーバです」って教えてくれてます。
偽者の証明書を確認することに意味はありません。
こちらに大きな過失がなければクレジットカード会社の保険でなんとかなるとの考えからです。
Re:オレオレで結構 (スコア:1)
ブラウザの開発元が認証局が信頼できるものかどうかを判定しているわけではなくて、
WebTrustつまり米国とカナダの公認会計士協会が判定したものを受け入れているだけです。
とはいえ最終的に判断するのはブラウザの開発元なので、
例えばIEはMicrosoftの独自認証局が入ってたり、WebTrust認定されてない段階で日本政府をフライング登録 [srad.jp]したりしますが。
Re: (スコア:0)
そうそう、インストールする XP のあらゆるコンポーネンツが一切改竄されていないことを証明しない限り、
証明書の真贋だけを問うても安全なんか確保できないよね。
Re: (スコア:0)
オレオレ=信用するなはオレオレ教の教義ですから。
宗教家はこれで食っていけるし、信者は不安からは救われるし、
お互いに利益が一致しているのを横から啓蒙しても悪魔呼ばわりされるだけだし。
もちろん現実には教義外の事態が起きるけれど、
念仏唱えている間にリアリストたちが収めてくれるから、
信者の皆さんは見なかったことにすればよいかと。
還付金に目が眩むひとって・・・(オフトピ) (スコア:0)
目が眩むものではないですよね。還付されるものはきちんともらう、ってだけ。
Re:還付金に目が眩むひとって・・・(オフトピ) (スコア:1, 参考になる)
住基カードやカードリーダ等が必要になりますが、一から揃えても多少は儲かるはずです。
期間限定のはずでしたが、今年もやるんですね。
Re:還付金に目が眩むひとって・・・(オフトピ) (スコア:2, 参考になる)
カードとリーダーのモトは取ったつもりですが、住基カードの電子証明書の有効期限ごとに平日昼間に役所まで行って500円払わないといけないことが分かったので、使いきりにすることにしました。
# 従来通りPDFで作って印鑑を押して郵送するだけのことだし。
## カードリーダーが余ってしまいますが、一部で人気がある用途には興味ないから、もったいないなあ。
Re: (スコア:0)
# 所得税だけで200万も取られるなんてどう考えても割に合わん。
# なんとかうまい脱^H節税方法は無いものか...
Re: (スコア:0)
住基っていえば名古屋が脱退するって言ってるけど、そうするとe-Taxも使えなくなるのかねぇ?