パスワードを忘れた? アカウント作成
13572337 story
政府

中央省庁の全WebサイトでSSL/TLS対応を義務化する方向 62

ストーリー by hylom
証明書買ってきて設定するだけの話なのになぜか心配になる件 部門より

政府・サイバーセキュリティ戦略本部が「政府機関等の情報セキュリティ対策のための統一基準群の見直し」を行い、その一環として政府機関等の全Webサイト及び電子メールについて、通信の暗号化対応を義務付ける方針を明らかにした(資料PDF日経新聞)。

昨年12月の日経新聞記事によると、中央省庁のWebサイトの8割弱が暗号化(SSL/TLS)に対応していないという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年04月11日 5時26分 (#3391382)

    全てhttps化出来て一安心。といったところで、
    悪意のあるCDNを使ってしまったばかりに通信を盗聴され、
    情報を窃取された。改ざんされた。って事は起こらないだろうか。

    よく考えているところは認証系を自ホストで、それ以外は別ドメインのCDNで、
    といった事はしているかもしれませんが、
    少し前に認証系のリクエストをCDNにキャッシュさせてしまい
    ユーザーのセッションが混ぜこぜになるという事件がありましたよね。

  • by hjmhjm (39921) on 2018年04月11日 16時48分 (#3391704)

    独自ドメインは原則禁止とかは徹底しないの?

  • ログインするサーバーか決済する時だけHTTPSとかおかしいでしょ。カートの中身に何が入っているか丸見えだし

    • カートの中身に何が入っているか丸見えだし

      rakuten.co.jpとyahoo.co.jpのメール経路は平文らしいので、
      https://security.srad.jp/story/15/11/17/043203/ [security.srad.jp]
      カートの中身どころか購入した物や購入者・発送先情報が平文です。

      親コメント
      • メールはもうあきらめよう。
        ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。
        今更どうしようもない。

        購入者や発送先はメールに書かず、注文番号だけ書いてサイトにログインして確認してもらうのが良い。

        最近だと、親切なアダルト系ショッピングサイトはそうしてくれてるよ。
        (家族バレ対策なのかも知れないけど……)

        親コメント
        • 理解できるんだがなんかモヤる。
          いやその、某銀行でVISAデビットカードでの引き落としが発生するとメールが飛んでくるのですが、そこに金額すら書いてないからいちいちログオンして確認しないといけないというのが…。

          親コメント
          • URLだけ書いてあればクリック一発(ログイン情報はデバイスがおぼえている)な気がしますが、
            クリックがめんどくさいという話でしょうか
            ログイン情報をデバイスに記録していないのでしょうか。

            前者であればURLを勝手に開くようなMUAを使えばいいんでしょうが、SPAM対策が大変だなぁ…
            後者だとぱっと手の打ちようがなさそうですね
            暗号化したQRコードがAA等で書いてあって、ARメガネをかけておくとそれがデコードされて読めるとか?
            URLをOCRしてもいっしょか…

            メールにURLが載ってないんであれば乗せてほしいですね

            と、ここまで書いてSMBCデビットで同じようにメールをもらっていることを思い出しました

            URLは乗ってるが、開いてもログイン直後の画面になるだけですなぁ…
            ハンバーガーメニューとドロップダウンリストをたどらないとみられない?
            だめな作りだなぁ…
            金額もメールに載せてもらうかと思ったが設定メニューもないのかぁ

            親コメント
            • by Anonymous Coward

              > URLを勝手に開くようなMUA

              そんなマルウェア自動感染機能がついたMUAとか怖すぎて使えねーよ

        • PGPかS/MIMEの公開鍵を登録しておくと、
          それで暗号化して送ってくれるってのが一番いいんだけどね
          未登録の場合は決済が実行されましたって内容だけで
          取引の詳細は書かないようにするとか。

          親コメント
        • by Anonymous Coward

          メールはもうあきらめよう。

          『全ウェブサイト及び電子メール通信の暗号化対応の義務化』なので、政府・サイバーセキュリティ戦略本部には案があるはず。

          • by Anonymous Coward

            範囲は行政府の提供するサービスだけでしょ、普通に考えて…

            • by Anonymous Coward

              行政が国民に提供するサービスの話だから、ここで使われる技術・仕様は、ネットショップがネットショップ利用者に対しても使えるのでは。

              • by Anonymous Coward

                市井のネットショップがその技術・仕様を使うかどうかなんて、特にこのストーリーと関係がないでしょ。
                政府機関の話なんだから。

              • by Anonymous Coward

                メールはもうあきらめよう。
                ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。
                今更どうしようもない。

                こんな現状を変えるソリューションなのに、民間利用しないなんてもったいない。

              • by Anonymous Coward

                民間利用するのも民間の自由だよ。というか、すでにできるよね。
                サーバ内やメールアーカイブのデータ暗号化は、ストレージを暗号化すればクリアだよね。
                メールサーバ間の暗号化通信は規格化されてるんだから、それを使えばいいよね。

                今回は政府側の「対応」なんだから、対応できる外部の相手が政府機関のサーバと通信できればセキュリティは向上するわけだし、何が問題なの?
                非対応な外部メールサーバとのやり取りはどうしようもないけど、それをことさらに論いたいわけ?

        • by Anonymous Coward

          Google透明性レポートでいつも暗号化しないドメイン上位なのに、改善する気はないのかな。
          https://transparencyreport.google.com/safer-email/overview?encrypt_reg... [google.com]
          地域別の上位のドメイン: 受信
          差出人: yahoo.co.jp
          地域別の上位のドメイン: 送信
          宛先: docomo.ne.jp
          宛先: ezweb.ne.jp
          宛先: softbank.ne.jp
          宛先: yahoo.co.jp

    • HTTPSに対応していればいいってもんでもないけどね。

      三菱UFJ銀行の法人用インターネットバンク (BizStation)なんて、
      IE only なだけじゃなく「TLS 1.1、1.2 の使用」のチェックを外さないと
      ログインできない(win7 64bit版,IE11) っていう馬鹿みたいな仕様なんだぜ。

      親コメント
      • by Anonymous Coward

        TLS1.0しかダメって事は、三菱グループのどこかにいまだにXPとIE8で運用してる企業があるんだろ

      • by Anonymous Coward

        まさかとは思うけど「TLSとはなんだ? エスエスエル以外の規格は認めん」ではないよね

  • 1年後に期限切れ証明書なサイトが大量発生してひろみちゅ案件になるところまで読めた。

    • by Anonymous Coward on 2018年04月10日 16時10分 (#3391071)

      情報を一方的に出すだけの企業サイトでも常時HTTPS化が進み、去年は上場企業でも数日間にわたり証明書の期限切れを起こしているサイトが数社あったので、期限切れが発生する可能性には同意する。
      でも、現在のウェブブラウザの証明書エラー表示を見ると、エラーを無視して(させて)アクセスさせるのはかなり抵抗があると思う。

      親コメント
      • by Anonymous Coward

        抵抗なく無視できたら証明書の意味なくない?

        • by Anonymous Coward

          言葉足らずで申し訳ない。
          抵抗があるので、証明書のエラーを無視するようなアナウンスはしづらいと思うということです。

    • by Anonymous Coward

      go/govドメインならletsencryptでも良いように思いますけどね。

    • by Anonymous Coward

      あの人って狂犬じゃなくて噛み付く相手を見てるんで大丈夫じゃないのん

    • by Anonymous Coward

      GPKIの証明書で、期限切れを待つまでもなくFirefoxとAndroidからアクセスできない第五種オレオレ証明書サイトのできあがりですよ

    • by Anonymous Coward

      ひろみちゅのサイトも移行に失敗して期限切れおこしてたからなぁ…

  • by Anonymous Coward on 2018年04月10日 14時27分 (#3390996)

    https://www.nisc.go.jp/conference/cs/ [nisc.go.jp]

    なんかモヤッとしますが
    政府の証明は
    GMOグローバルサインにお任せ!
    ってことですね

    # favion.icoとspacer.gifが404もモヤっとするが

    • by Anonymous Coward on 2018年04月11日 6時56分 (#3391390)

      ひろみちゅが昔言ってた [takagi-hiromitsu.jp]けど、.go.jpをちゃんと使っていれば政府機関サイトのSSL証明書はDVで十分なんだよ。政府の実在なんて誰も疑わないんだから

      親コメント
    • by Anonymous Coward

      それを避けようとしたのがGPKIなんだよね

      まあMozillaからすればそんなの知ったこっちゃないんだけど

      • by Anonymous Coward

        GPKI をきちんと立ち上げるにしても,認証家庭で民間の監査法人の監査を受けなければならない.
        それに最後は Mozillaに限らず,Apple社や alphabet社,MS社がブラウザ/OSへのバンドルするかの話になるから,GMOの証明書で良いんじゃない?

        • by Anonymous Coward

          認証家庭で民間の監査法人の監査を受けなければならない./p>

          すまん
          家族会議でおとうさんがお小遣い申請に四苦八苦
          って場面が浮かんでしまい
          ツッコまずに入られんかった

        • by Anonymous Coward

          別にバンドルしてもらえばいいじゃん。
          証明書チェーンのどこで証明するかが問題なのであって、配布経路はセキュアであれば関係ないのでは。

        • by Anonymous Coward

          法律でGPKIのルート証明書を入れるの義務付けて、政令で公開鍵を公布して
          ルート証明書をバンドルしない携帯端末やパソコン、ブラウザの使用を法律で禁止したら?

      • by Anonymous Coward

        まぁ素人からすりゃMozillaのポリシーなんて知ったこっちゃないしな
        使えないの?やっぱちゃんとしてないブラウザなんだねって思われるだけ

        • by Anonymous Coward

          電話一本すりゃ済んでた話だけどな。政府側に担当者がいないんじゃ、やっぱりやらなくて正解だったってことだ。責任者がいないセキュリティほど恐ろしいものはない。日本人はもっとGPKIを潰してくれたことを感謝すべき。

        • by Anonymous Coward

          そうですね、AndroidはちゃんとしたOSじゃないんですね。

          # Android上のChromeもMozillaの証明書ストアを使用しています

      • by Anonymous Coward

        韓国、トラブってる?

        823665 - please remove trust of GPKIRootCA1 root certificate or sub-ca
        https://bugs.chromium.org/p/chromium/issues/detail?id=823665 [chromium.org]

  • by Anonymous Coward on 2018年04月10日 14時42分 (#3391013)

    「証明書の更新……?」
    ってなりそう

    • by Anonymous Coward

      そこで自動更新できるLetsEncryptですよ。
      EV証明書が不要なら、有料のサービスよりも圧倒的に便利。

  • by Anonymous Coward on 2018年04月10日 14時43分 (#3391014)

    さすがにSSLはもう捨てるべきじゃないかと。

    • by Anonymous Coward

      SSL/TLS って表現は暗号化通信の俗称として定着してるんだよ。
      俺知ってるみたいな言い回しは逆に恥ずかしいから。

      • by Anonymous Coward

        別ACだが、もう使う必要がない表現だと思うわ。
        自分からも変えていけよ。

        • by Anonymous Coward

          自分からも変えていけよ。

          別ACだが、「internet」の一般名詞扱い化以降、いくつかの表記ガイドラインで「Web」が「ウェブ」に変更された。
          これに合わせて、スラドへのタレコみは「ウェブ」にしているが、スラドの表記ガイドラインは違うようで「Web」に変更される。

          多くの英字メディアが採用するAPスタイルガイド、固有名詞扱いだった「Internet」を一般名詞扱いの「internet」へ
          https://it.srad.jp/story/16/04/07/0536233/ [it.srad.jp]

          • by Anonymous Coward

            別ACだが、「internet」の一般名詞扱い化以降、いくつかの表記ガイドラインで「Web」が「ウェブ」に変更された。

            それなぁ発音含めてカオスですわ
            「ウェブ」「ウエブ」「ウェッブ」「ウエッブ」
            「ウェブサイト」(以下ウェブに同じ)
            「ホームページ」「エイチピー」「エッチピー」
            「ホームサイト」
            「メインサイト」
            「サイト」
            「うちのとこ」
            「あれ」

          • by Anonymous Coward

            それはAPスタイルガイドで"Web site"が"website"になった(2010)からでは?

        • by Anonymous Coward

          EV TLS とか言っても通じんだろうよ。

  • by Anonymous Coward on 2018年04月10日 22時01分 (#3391278)

    DHパラメータの問題とHSTS設定の不足 [ssllabs.com] が指摘されてますが・・・・

    • by Anonymous Coward

      それ以前に「接続先」がね。。w

  • by Anonymous Coward on 2018年04月11日 2時42分 (#3391365)

    最近、TLS1.0が排除されつつあるみたいだけど
    TLS1.2とか対応している環境で見ていると
    どこのサイトがそういう設定になっているのかさっぱりわからない。

    MacとかFreeBSDとかLinuxとかでも
    共通して、https通信で要求されている仕様を
    手軽に確認する方法って無いんでしょうか?

    #XP,VistaはIEを使うかぎりTLS1.0までしか使えないのだとか…

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...