パスワードを忘れた? アカウント作成
185836 story
セキュリティ

e-TaxのWebサイト、Firefoxでは信頼できないSSL証明書を使ったサイトと認識される 62

ストーリー by hylom
紆余曲折 部門より

あるAnonymous Coward 曰く、

昨年、還付金に目が眩んで e-Tax に登録してしまったのだが、つい先程のこと e-Tax を名乗るメールが届き申告のお知らせがあるので http://www.e-tax.nta.go.jp/ へ行ってメッセージボックス一覧表示を確認するようにと案内があった。

そこで早速、e-Tax のページへ飛び、指示のあったメッセージボックス表示 とやらを確認に行ったのだが、なんと SSL 証明書が sec_error_untrusted_issuer と警告されてしまい面食らっているところである。

よりにもよって国税庁のe-Tax関連サイトで独自書名というのは有り得ないにも程がある上、ガンブラーの亜種が猛威をふるっていると伝え聞く現状では、遂に国税庁までもが陥落してしまったのか?と疑いたくなってしまう。

まさか、本当に陥落してしまった訳ではないとは思うのだが、国税庁の一体何を考えているのか頭を抱えるばかりである。

コメントでも指摘されているが、政府や地方自治体が使用しているGPKIのルート証明書がFirefoxにはプリインストールされていないのが問題となっているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by emk (30939) on 2010年01月19日 22時43分 (#1705570) 日記

    Firefoxをお使いなのだと思いますが、まもなくリリースされるはずのFirefox 3.6で修正されます(という表現でいいのかな? とにかくオレオレ証明書ではなくなります)。インストーラの署名を確認して、かつVeriSignを信用できるなら問題は解決します。
    Firefox 3.5系では、3.5.8で修正が入るかもしれません。
    いや本当に長かった…。
    参考: bug 5363 - GPKI・LGPKI・JPKIなどのルート証明書を Mozillaの証明書ストアに含めてほしい [mozilla.gr.jp]
    Bug 474706 - Add Japanese Government Application CA Root [mozilla.org]
    Bug 523434 - Add "ApplicationCA - Japanese Government" root certificate to NSS [mozilla.org]
    Bug 527759 - Add multiple roots to NSS (single patch) [mozilla.org]

    • 補足 (スコア:4, 参考になる)

      by emk (30939) on 2010年01月19日 23時23分 (#1705585) 日記

      これだとまるでFirefoxが一方的に悪いみたいなので(まあGPKIの証明書がWebTrustの認証を受けて [cocolog-nifty.com]からこんなに時間がかかったのは確かに悪かったのですが)、いったい何がどうなっているのかについて、とりあえず過去のストーリーを貼っておきます。
      総務省「電子申請・届出システム」は信頼できるか [srad.jp]
      総務省:「電子政府に100%の安全はなく、やむを得ない」 [srad.jp]
      政府・官公庁の証明書をMSがWindows Updateで配布 [srad.jp]

      親コメント
      • by Anonymous Coward on 2010年01月21日 11時56分 (#1706424)

        >これだとまるでFirefoxが一方的に悪いみたいなので

        そうおっしゃいますが
        この流れを追いかけると、少なくとも今回は総務省に落ち度はないように思いますが、違うのかな?
        今回の件で総務省に落ち度があったとすれば何だろう。

        親コメント
        • by Anonymous Coward

          > 今回の件で総務省に落ち度があったとすれば何だろう。
          IEにしかルート証明書がインストールされていない状態では第五種オレオレ証明書 [takagi-hiromitsu.jp]であるにもかかわらず、電子政府でGPKIの証明書を使用することを義務付けるような運用を強行した点でしょうか。IEでしか動かなくていいならともかく、確かベンダーロックインを避けるという趣旨のガイドラインもあったはずです。Windowsでは不便であるにもかかわらず政府調達周りのアプリがほとんどすべてJavaで開発されるのもそのためですし。

        • by Anonymous Coward

          当初、第三者による検証を受けていなかったこと。

          だから

          (まあGPKIの証明書がWebTrustの認証を受けて [cocolog-nifty.com]からこんなに時間がかかったのは確かに悪かったのですが)

          って言ってるんじゃん。

          • by Anonymous Coward

            WebTrustの認証はかなり昔に受けているので、今回の件には関係ないように思いますが?

      • Re:補足 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2010年01月21日 23時09分 (#1706788)
        WebTrustの認証受けてから1年以上も放置したのは、傍から見たらFirefoxの怠慢にしか思えん
        親コメント
    • by Anonymous Coward

      >まもなくリリースされるはずのFirefox 3.6で修正されます
      いつ出るのかってご存じでしょうか?
      # e-taxの話なのでバレンタインからホワイトデーの間に
      # 解決しないと困るよね。ってことで。

  • サーバ側で中間証明書を適切に設定すれば済む話ではないかと。
    • by Anonymous Coward
      これは中間証明書の問題(第六種オレオレ証明書)ではなく、単にFirefoxのルート証明書ストアにGPKIのルート証明書が入っていなかった(第五種オレオレ証明書)というだけの話です。
  • こちらから [gpki.go.jp]認証局の公開鍵をダウンロードするのです。

    #が、フィンガープリントの確認先が同じくだよ。オイオイ!

    • by emk (30939) on 2010年01月19日 22時52分 (#1705573) 日記

      たとえ日本政府を信用できても、httpでは途中の経路を信用できるとは限らないと言う問題があります。
      # かといってhttpsでアクセスすると同じオレオレ証明書の警告が表示されるという鶏と卵問題が…
      Windows限定ですが、IEから証明書をインポートしてきた方が安全かもしれません(Firefox 3.5以前やOperaの場合)。Windows版のSafariやChromeはIEと共通の証明書ストアを使うようです。

      親コメント
      • > たとえ日本政府を信用できても、httpでは途中の経路を信用できるとは限らない

        が、日本政府が「信用しろ」と言ってるようなので、そこまで含めて「信用するなら」ってこと。

        ただ、その日本政府も「フィンガープリントで確認せよ」とも言ってるので、自分がダウンロードした DER ファイルのフィンガープリント貼っときますね。

        $ openssl dgst -sha1 APCAroot.der
        SHA1(APCAroot.der)= 7f8ab0cfd051876a66f3360f47c88d8cd335fc74

        #何となく、合ってるような気がするが、、、

        親コメント
        • by Anonymous Coward on 2010年01月21日 12時51分 (#1706470)
          官報にfingerprintが載っているはずです。
          http://www.gpki.go.jp/apca/apca_self.html
          親コメント
        • by Anonymous Coward

          > が、日本政府が「信用しろ」と言ってるようなので、そこまで含めて「信用するなら」ってこと。
          「信用しろ」と言っている相手が本当に日本政府であるかどうかが定かではありません。
          たとえて言うなら、電話口で「税務署ですが、税金の還付が発生しましたので最寄のATMまで携帯電話を持ってお越しください」とか言われている状況なわけです。
          日本政府が「電話口で税務署だと名乗ったら税務署だと信用しろ」と言っているのだから信用する、という考え方もあるかもしれませんが、ふつうは日本政府を信用できなくなるのではないでしょうか。

    • by bero (5057) on 2010年01月21日 12時10分 (#1706436) 日記

      Microsoftを信用するなら、IEもしくはIEの通信コンポーネントを使ったブラウザ(Chrome)で一度アクセス(これでルート証明書が自動更新される)した後、
      Japanese Govenment/ApplcationCAのルート証明書をエクスポートしてFirefoxでインポートすればいいよ

      親コメント
  • どうかしてる (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2010年01月21日 12時07分 (#1706430)

    e-Taxを使用するのにFirefoxを使用するほうが、どうかしてる

    • by chuukai (18189) on 2010年01月21日 22時32分 (#1706779) 日記

      私のメールボックスにもトピ主と同じメールが来ていて、Internet Explorerで見ろという注意書きもないメール本文のリンクを踏むとこんな画面 [jpgmp3.jeez.jp]が表示されました。
      こんな画面を見てもuketsuke.e-tax.nta.go.jpの証明書を信じられるかどうかを一般の人が判断できるとは思えません。
      Firefoxのルート証明書ストアにGPKIのルート証明書が入っていないという予備知識があって、「また官庁のオレオレ証明書か」と苦笑いしながら「例外として取り扱う」のリンクをたどってメッセージまでたどり着けるのは、今までの電子政府のプロジェクトで経験を積んだ人だけです。

      親コメント
    • by Anonymous Coward
      > e-Taxを使用するのにFirefoxを使用するほうが、どうかしてる
      なんで?
  • by takanori (3460) on 2010年01月21日 23時49分 (#1706799)

    Firefox 3.6に間に合わせようとしてFirefox 3.6のNSSにはつっこんだみたいだけど、単独で配布されるNSS [mozilla.org]は現在3.12.5で、GKPIには3.12.6で対応のように見えます。

    NSSを別パッケージとしてリンクするようなLinuxディストリビューションだと、Firefoxは3.6だけどNSSは3.12.5でGKPIに対応できていない、ということになりそう。

    NSS 3.12.6のリリース予定に関する情報は、どこかにあるのだろうか。

  • by Anonymous Coward on 2010年01月21日 11時40分 (#1706417)

    IE(Windows)では問題ないってことも書いといた方が良くない?
    他の環境ではどうだろう。

  • by Anonymous Coward on 2010年01月21日 12時11分 (#1706438)
    ブラウザにプリインストールされているルート証明書が
    オレオレよりも信頼できると考える理由がわからない。
    • by Anonymous Coward
      自分で考えるということを忘れちゃったんでしょう。
    • by Anonymous Coward
      署名も確認せずにブラウザをインストールしたのですか?
      • by Anonymous Coward
        XPをインストールすると署名の確認などなしにいくつかの
        ルート証明書を信頼済みにしたIEがインストールされます。

        で、そういうルート証明書がオレオレ証明書より信用できる
        理由はどこにもないと思うのですが、どうでしょう。
        オレオレ証明書を信用しろといってるのではなく、
        正規の証明書もオレオレと全く同様に、信用しないのが
        いいのではないかと思うのです。
        • by Anonymous Coward

          突き詰めるなら、ブラウザなどにプリインストールされている証明書はいったん全て削除し、信頼できる証明書を自分で選定してインストールすべきですね。
          以前Comodoの再販業者が、身元確認もせずに正規の証明書を発行して問題になっていました [srad.jp]し。

          # 面倒なので僕はやってません

          • by Anonymous Coward
            そもそも信頼できるルート証明書なんて存在しえるんでしょうか?

            私だったら、友人Aを信頼していたとしても、
            彼が「こいつは大丈夫」と太鼓判を押すB氏を
            Aと同等に信頼することは出来ません。
            • Re:オレオレで結構 (スコア:2, すばらしい洞察)

              by monaoh (12125) on 2010年01月21日 14時42分 (#1706554)

              「こいつは大丈夫」って意味じゃなくて「こいつはB氏本人です」って意味に過ぎませんよ。

              B氏を信用するかどうかはあなた次第。信用しないなら、そのサービスを利用しなければいいだけです。

              親コメント
              • by Anonymous Coward
                #1706537です。
                おっしゃるとおり。勘違いしてました。

                問題は、認証局そのものを信用していいものかどうかが
                わからんというところだった、というわけですね。
                Trusted AuthoritiesにはいってるAAAとかいう
                名前を聞いたこともない会社が、この人はBさんですと
                保障してくれても、だから何? と。

                # まだ何か間違ってるかな...
              • Re:オレオレで結構 (スコア:1, すばらしい洞察)

                by Anonymous Coward on 2010年01月21日 19時41分 (#1706720)

                あなたにとっては名前を聞いたことがない会社かもしれませんが、
                ブラウザの開発元が「信用していいよ」っていってる組織なのです。
                それすら信頼できないというのは単に価値観の話ですが、少なくともオレオレ証明書と同等だとは思えません。

                「ルート証明書もオレオレ証明書と同様に信頼できない。」
                 A:「だから、すべてのサイトで秘密情報を一切送信しない。」
                 B:「だから、オレオレ証明書のサイトでも躊躇なく秘密情報を送信する。」
                Aならともかく、Bは無いと思います。

                親コメント
              • by Anonymous Coward

                ああ、失礼。正規の証明書も信用しないという流れでしたね。
                サブジェクトだけ見て勘違いしました。

                それはそれで、ひとつの考え方だとは思いますが、
                個人的には失うもの(オンラインショッピングの便利さとか)が多すぎると思います。
                少なくとも通信経路中で盗聴されていないことは保証されるわけですし。

              • by Anonymous Coward
                ブラウザの開発元をある程度信頼してますが、それはトロイの木馬を
                仕込んだりはしないだろうという意味での信頼で、
                彼らに認証局が信頼できるものかどうかを判定する能力が
                あると考えているわけではない、としたらどうでしょうか。

                私のスタンスは、秘密情報を送信するかどうか判断する際に
                証明書がオレオレかどうかは判断材料にしない、です。
                どなたかが書いてましたが、プリインストールのルート証明書を
                全部消すのと同じイメージ。BよりはAに近いか、と。
              • by Anonymous Coward
                通信経路中での盗聴がないのはオレオレでも同じじゃありませんか?

                信頼できる相手でないとできないような通信なら、どっちにしても
                証明書は自分で確認しなきゃ、と思います。

                オンラインショッピングも使いますが、それは店を信用しているわけではなく、
                もしもクレジットカード番号が漏れて悪用されたとしても、
                こちらに大きな過失がなければクレジットカード会社の保険でなんとかなる
                との考えからです。
                実店舗を構えた店でカードを使うときも、同様に店はぜんぜん信用してません。
              • by Anonymous Coward

                通信経路中での盗聴がないのはオレオレでも同じじゃありませんか?

                いいえ。 PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」 [takagi-hiromitsu.jp]
                例えば、中間者攻撃を受けていた場合でもオレオレ証明書が表示されます。

                信頼できる相手でないとできないような通信なら、どっちにしても
                証明書は自分で確認しなきゃ、と思います。

                わざわざ自分で確認するまでもなく、ブラウザが「偽サーバです」って教えてくれてます。
                偽者の証明書を確認することに意味はありません。

                こちらに大きな過失がなければクレジットカード会社の保険でなんとかなるとの考えからです。

              • by bero (5057) on 2010年01月22日 13時18分 (#1707041) 日記

                ブラウザの開発元が認証局が信頼できるものかどうかを判定しているわけではなくて、
                WebTrustつまり米国とカナダの公認会計士協会が判定したものを受け入れているだけです。

                とはいえ最終的に判断するのはブラウザの開発元なので、
                例えばIEはMicrosoftの独自認証局が入ってたり、WebTrust認定されてない段階で日本政府をフライング登録 [srad.jp]したりしますが。

                親コメント
        • by Anonymous Coward

          そうそう、インストールする XP のあらゆるコンポーネンツが一切改竄されていないことを証明しない限り、
          証明書の真贋だけを問うても安全なんか確保できないよね。

    • by Anonymous Coward

      オレオレ=信用するなはオレオレ教の教義ですから。
      宗教家はこれで食っていけるし、信者は不安からは救われるし、
      お互いに利益が一致しているのを横から啓蒙しても悪魔呼ばわりされるだけだし。

      もちろん現実には教義外の事態が起きるけれど、
      念仏唱えている間にリアリストたちが収めてくれるから、
      信者の皆さんは見なかったことにすればよいかと。

  • by Anonymous Coward on 2010年01月21日 13時56分 (#1706530)

    昨年、還付金に目が眩んで e-Tax に登録してしまったのだが

    目が眩むものではないですよね。還付されるものはきちんともらう、ってだけ。

    • by Anonymous Coward on 2010年01月21日 14時27分 (#1706543)
      何の控除がなくても、e-Taxを使って申告するだけで初回のみ5000円もらえるのですよ。
      住基カードやカードリーダ等が必要になりますが、一から揃えても多少は儲かるはずです。
      期間限定のはずでしたが、今年もやるんですね。
      親コメント
      • カードとリーダーのモトは取ったつもりですが、住基カードの電子証明書の有効期限ごとに平日昼間に役所まで行って500円払わないといけないことが分かったので、使いきりにすることにしました。

        # 従来通りPDFで作って印鑑を押して郵送するだけのことだし。
        ## カードリーダーが余ってしまいますが、一部で人気がある用途には興味ないから、もったいないなあ。

        親コメント
      • by Anonymous Coward
        5000円に目が眩むって...

        # 所得税だけで200万も取られるなんてどう考えても割に合わん。
        # なんとかうまい脱^H節税方法は無いものか...
      • by Anonymous Coward

        住基っていえば名古屋が脱退するって言ってるけど、そうするとe-Taxも使えなくなるのかねぇ?

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...