ページ内ジャンプ:

スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

名古屋市のサイト、証明書期限切れ

nabeshinによる 2008年02月25日 19時37分の掲載
今年度の予算にありません!部門より。
セキュリティ 暗号

nesuke 曰く、

タレコミ人が問い合わせフォームを利用していて気が付いたのだが、名古屋市の公式サイトに導入されている証明書の期限が切れている。

・名古屋市のサイト
https://www.city.nagoya.jp/(アクセスすると期限切れ表示に)

電子申請用のページに導入されている証明書は期限内のため、大きな問題になっていないのかもしれないが、毎度毎度お役所の方々は何をされているのか……。期限切れの証明書を使った問い合わせフォームからその旨指摘しておいたがいまのところ返事は無い。過去にも似たような事が良く起こっているが、何故これらの証明書に絡む諸問題は重視されないのだろうか?

関連ストーリー

Slashdotに聞け: SSL 証明書の運用管理どうしてますか? 83 コメント
AFPBB Newsのサイト証明書が期限切れに 6 コメント
IT: あなたの使ってる銀行、フィッシング詐欺は大丈夫? 89 コメント
問題のあるSSL証明書の安全性を担保するPerspectives 52 コメント
この議論は賞味期限が過ぎたので、保存されている。 新たにコメントを書くことはできない。
名古屋市のサイト、証明書期限切れ | ログイン/アカウントの作成 | 69 個のコメント | コメント検索
表示オプション しきい値:

  • 理解できないのなら使うべきではない (スコア:5, すばらしい洞察)

    Napper (6812) : 2008年02月25日 20時25分 (#1303252)
    名古屋市に何かを申請する際に、有効期限の過ぎた身分証明書を持って行ったら門前払いされるでしょうにねえ。
    今回のお役所に限らず、オレオレ証明書で「警告が出たらOKを押せ」と顧客に要求する企業も、セキュリティ証明書の意味が根本的にわかっていないのでしょうね。
    理解できないからといって「こんなものどうせたいして意味がないんだよ」とうそぶくのなら最初から使わずにいてくれる方がまだマシです。
    社会的に影響の大きい立場の人たちが「OKを押せばいいんだ」と利用者に教え込むことで、他の本当に危険なサイトに出くわしたときに、利用者がその危険を把握できなくなるのですから。

    #どうもえらい人ほど、「お前の言っていることを俺が理解できないのは、お前の説明が悪いからだ」「俺の言っていることをお前が理解できないのは、お前の頭が悪いからだ」という思考になるようで、困ったものです。
    • 残念ながらそう思う市民は少数派なのです by Anonymous Coward (スコア:1) 2008年02月25日 23時24分

    • Re:理解できないのなら使うべきではない (スコア:3, すばらしい洞察)

      Anonymous Coward : 2008年02月25日 22時22分 (#1303313)
      そりゃ、手元のコンピュータを信頼できない状況ではどんな仕組みを使っても無駄だわね。
    • Re:理解できないのなら使うべきではない by Anonymous Coward (スコア:1) 2008年02月25日 22時42分

    • Re:理解できないのなら使うべきではない (スコア:2, すばらしい洞察)

      Anonymous Coward : 2008年02月26日 7時41分 (#1303430)
      > レジストリをごにょごにょしたりすれば、簡単にルート証明書をインストールしたりもできますしね。
      ええと、逆に聞きたいんだけど、ルート証明書のインストールってレジストリをいじる必要があるの?
      外部からレジストリを操作されて、望まないのに勝手にルート証明書がインストールされるとかいう話ならそもそもサイトの安全性がどうとか言う以前の問題だし。

    • 実印と認め印の違い (スコア:2, すばらしい洞察)

      stat (28781) : 2008年02月26日 10時25分 (#1303473)
      >印鑑という無期限かつ無限に使える証明手法に慣れきってしまうと、とうも有効期限という感覚が生まれてこないのかも。

      認め印についてはおっしゃるとおりですが、実印の場合は実印を押した文書と共に
      印鑑証明書の添付が求められ、印鑑証明書には通常、発行後3ヶ月以内という有効期間が
      あります。
      役所に提出する書類で、印鑑証明書の期限が切れていると、即座に取り下げを求められます。

      たとえて言うと、実印を押した文書は、きちんとした認証局が発行したルート証明書を持つ
      証明書付き文書に相当し、名古屋市は役所にもかかわらず有効期限切れ印鑑証明書を公然と
      使い続けていると云ったところでしょうか。
    • 3個のコメント が現在のしきい値以下です。

  • 宮崎県よりはましかも (スコア:5, 参考になる)

    Anonymous Coward : 2008年02月25日 20時26分 (#1303253)
    宮崎県だと、期限切れだけでなく、全部出ますよ。

    https://www.pref.miyazaki.lg.jp/index.htm [miyazaki.lg.jp]

    IE7の表示
    「この Web サイトで提示されたセキュリティ証明書は、信頼された証明書機関から発行されたものではありません。」
    「この Web ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません。」
    「この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたものです。」

    おまけに、現在Webサイトの管理は、広報広聴課のはずなんですが、証明書の発行対象の部門名(OU)はInformation Administration Division → 情報政策課になってます。

    • Re:宮崎県よりはましかも (スコア:5, おもしろおかしい)

      Anonymous Coward : 2008年02月25日 21時07分 (#1303281)
      どげんかせんといかんのでは?
    • Re:宮崎県よりはましかも by nesuke (スコア:1) 2008年02月25日 20時35分

      • 2月更新は多いです (スコア:2, 興味深い)

        doctor_d (4392) : 2008年02月26日 18時16分 (#1303712)
         2月-3月更新の自治体は多いです。
         まず、システムの稼動が4月からと決まります。ソフトウエア類は構築のため遅くとも2-3月には必要なので
        保守開始やライセンス発行も2-3月となります。
         すると翌年2-3月に保守更新となってしまうのです。

         ややこしいのは役所の帳簿上保守開始が稼動開始の4月と書いてあったりする場合。
         保守更新の注文がぎりぎりまで出来ず、2月に注文書が来ない = 保守切れの発生となる
        事が時々ありますね。

      • >ところでタレコミの
        >> 期限切れの証明書を使った問い合わせフォーム
        >ってどこのことでしょう?

        私は名古屋市のサイトのRSSを購読していて、各ページに直接飛んでいるのですが、
        それらのページに問い合わせフォームへ移動するボタンが付いているのです。

        例えばこことか>http://www.city.nagoya.jp/kurashi/todokede/todokede/nagoya00050698.html
        (ページ下部にもフォームがあるけど、これはWEBページ自体についての問い合わせで、ページに記載されているニュースやお知らせについては別に用意されている問い合わせフォームへ移動せよという構成)
        しかも、
        問合せ先からの返信が必要な場合は、必ず本文内に連絡先(電話番号、電子メールアドレスなど)を記載してください。
        等と書いてあるので、おいおいやベーよ。と思ってhttps://としてから再度アクセスした時に判明したんです。

        #そもそも標準で暗号化してないのは(YahooやMixiのログインページもそうだけど)どうかと思う。
      • 1個のコメント が現在のしきい値以下です。
    • Re:宮崎県よりはましかも by Anonymous Coward (スコア:1) 2008年02月25日 20時55分
    • Re:宮崎県よりはましかも by akudaikan (スコア:1) 2008年02月26日 2時55分

    • Re:宮崎県よりはましかも (スコア:2, 興味深い)

      akudaikan (26016) : 2008年02月26日 3時12分 (#1303414)
      こいつが第二世代のLGPKI証明書ね。
      Firefoxだと警告が出るけどね。
    • 2個のコメント が現在のしきい値以下です。

  • いや、だから、 (スコア:4, おもしろおかしい)

    virtual (15806) : 2008年02月25日 21時29分 (#1303288)
    それは偽サイト [slashdot.jp]だって。
  • ドメイン名の登録期限についてはうるさい位に期限前にレジストラからメールが届くが、サイト証明書の場合はどうなんでしょう?最近証明書を初めて買ったので期限間際の事は経験が無いのですが、証明書が切れそうなったら新たに証明書の購入を促すメールが届くのでしょうか?
    証明書自身に期限があるなら例えば1ヶ月前から警告を出してくれるとかなり助かる人も多いのではないでしょうか?

    #あ、でもこれは証明書の問題というよりはそれを利用するブラウザが対応するか否かの問題だな。

  • そのサイトは誰も見ていない (スコア:3, 参考になる)

    kilin28 (10167) : 2008年02月25日 20時59分 (#1303274) 日記
    名古屋市のサイトは http://www.city.nagoya.jp/ [nagoya.jp] だと思うんだけど、 https://www.city.nagoya.jp/ [nagoya.jp] は http://www.city.nagoya.jp/ [nagoya.jp] からリンクされてないし、普通に検索しても出てこない。SSLで見る人はただの物好きな人だと思う。まあ、電子申請システム https://www.e-shinsei.city.nagoya.jp/ [nagoya.jp] が外部リンクといっているのは笑うとこですし、そこだけ別個にサーバー証明書取っているのも可笑しいですね。

  • 予算以前…つーか常識の範疇 (スコア:3, 興味深い)

    EsperIto (14022) : 2008年02月26日 0時55分 (#1303387)
    以前、とあるセキュリティを生業としている企業のウエブサイトでメルマガの登録をしようとしたのですが(氏名・性別・生年月日・メアド)、期限切れの証明書が使われているのを見つけて、問い合わせフォーム(SSL無)から「期限切れだよ。業務内容的にマズいんじゃないの?」的な連絡をしてみたのですが。
    ものの見事にスルーされた上、数日後には証明書自体が使われなくなっていました…

    サーバ証明書の値段なんてしれてるんだし、それすらケチる企業とは関わり合いたくないわ

    • 電子署名とか使わないのか (スコア:2, 興味深い)

      elderwand (34630) : 2008年02月26日 9時43分 (#1303457) 日記
      > サーバ証明書の値段なんてしれてるんだし

      最近は安くなりました。本人確認もメールが届けばOKだし、法人の場合後払いでもOKだし。

      ただ、ある特殊法人の場合、「見積書」「請求書」「納品書」が必要で、PDF で送ってもらって印刷して会計に回すんだけど、PDF は「セキュリティなし」、印影は画像貼り付け。うーん、こんなんでいいのかな。でも、おいらが改ざんしてもメリットないし。

      #何かメリット考えよう。
    • 3個のコメント が現在のしきい値以下です。

  • 期限切れメール (スコア:2, 参考になる)

    Kow (2603) : 2008年02月25日 20時37分 (#1303263) ホームページ 日記
    期限が切れますよメールやお知らせは名古屋市がこのサイト構築をお願いしたベンダーのとこに行ってるんじゃないでしょうか?
    まさか内製してるとは思えないのですが。
    --

    - Project Prominence -
    http://www.prominence.tv/

  • 1ヶ月放置は長いかも (スコア:2, 参考になる)

    Anonymous Coward : 2008年02月25日 23時00分 (#1303336)
    Google や Amazon が個別に提供しているサービスでも
    たまにというか、1年に一度は切れているのを見かけるような気がする。
    最近、Google も別のサーバー証明書を代用していて
    警告が表示されてました。

    有効期限を長くすると担当者が変わった際に
    忘れ去られるので、自分が管轄のサイトは
    1年単位で恒例行事という事で更新しています。

    最近は、更新代行をしてくれるホスティングサービスもあるようで。

  • moraの件もこれなのかなぁ (スコア:1, 参考になる)

    Anonymous Coward : 2008年02月25日 22時43分 (#1303326)
    メンテナンスのお知らせ | 【mora[モーラ]】音楽ダウンロード・音楽配信サイト [mora.jp]より

    2008年2月17日(日)より一部のお客様において以下の障害が発生しております。障害の復旧と合わせて、該当するお客様への対応を準備しておりますので、今しばらくお待ちください。

    ・ログイン選択画面において
    「SSL証明書が無効である」と表示され、ダウンロードが出来ない。
    ・楽曲ダウンロード時に「SSL証明書が無効である」と表示され、ダウンロードが出来ない。
    もしくは「ダウンロードに失敗しました」と表示され、ダウンロードが完了しない。
    一部のお客様だけってことは期限の問題じゃないのかもしれないけれど、以前の証明書について ご存知の方いますか?
  • ちょっと返信が遅い気がしますが、一般企業と違って色々処理フローが大変なんでしょう。
    ということでSSLへの対応そのものは比較的早かったのでちょっと関心しました。

    帰ってきたメールの一部抜粋。

    名古屋市市民経済局市政情報課長

    このたび、あなたからお寄せいただきました件につきましては、次のとおりお答えいたします。

    このたびは、SSL証明書の期限切れについてご連絡いただき誠にありがとうございます。
    証明書の期限切れにつきましては、早速証明書の更新作業を開始し、2月26日午後8時55分に作業を終了いたしました。ご迷惑をおかけし大変申し訳ございませんでした。
    今後はこのようなことがないよう適切な運営に努めてまいりますので、引き続き、名古屋市公式ウェブサイトをご利用いただきますようよろしくお願いします。

    (担当課 市民経済局市政情報課 電話052-972-3152)
  • 2個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。