【この記事のバージョンはv0.99】
-----
(2019/12/9 追記)
終了してしまいました。おつかれさまでした。
-----
(2014/6/26 追記)
この記事への閲覧が増えているような気がして、ハローワークのページを見ると、
2014年7月18日(金)21:30 ~ 同7月22日(火)8:00までの間、ハローワークインターネットサービス、しごと情報ネット、大卒等就職情報WEB提供サービス及び高卒就職情報WEB提供サービスではシステムメンテナンスを実施いたします。
とのこと。
(2014/07/22 追記)
証明書はVeriSignのものから変更なし。ちなみに有効期限は2014/12/18。
-----
この件のslashdot.jpの記事。
その後、ハローワークのサイトでは2013年12月13日付で以下のようにアナウンスしている。
-----
ハローワークインターネットサービスでは、平成25年12月9日に、新しいセキュリティ証明書への切り替えを実施しましたが、主にfirefoxをご利用の皆様から、警告画面が表示され、アクセスできないとの問い合わせを多数頂きました。このため、同年12月11日早朝に、仮対処を実施しました。
2 お願い
上述の仮対処については、緊急的避難的な対応となりますので、当サイトのセキュリティを維持するためには、一定期間経過後(本年末目途)、仮対処を終了させる必要があります。
つきましては、主にfirefoxをご利用の方で、【アプリケーション認証局2(Root)の自己署名証明書】(※)を取得されていない場合は、下記の政府認証基盤のホームページに接続し、インストール作業を実施していただくようお願いいたします。
-----
この「仮対処」は、サーバ証明書を元来の「アプリケーション認証局」(「2」ではない)で署名したものに戻したことを指すようだ。
年が明け、VeriSignが発行した証明書に置き換えられた。GPKIの利用をいったん諦めた?
この現象は、Firefox × ハローワークの組み合わせだけでおこるわけではない。Firefoxのセキュリティに対する挙動が厳しすぎるだけだ。現在確認できているところでは、
- 法務省の 「登記・供託オンライン申請システム」 (アナウンス)
(2013/12/20に証明書が入れ替えられ、iOS6なiPod touchのsafariからは、こうなった。)
- 金融庁の 「EDINET」 (トップページ)
- 総務省の 「電波利用 電子申請・届出システム」(同Lite) (トップページ)
- 国土交通省の 「自動車保有関係手続のワンストップサービス」(リンクを張ったら氏名をFAXしろ、との記述があり、面倒なのでリンクしない)
あたりで新しい証明書の導入が必要なよう。
背景としては、「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針(PDF)」(平成20年4月22日 情報セキュリティ政策会議決定 / 平成24年10月26日改定(PDF) 情報セキュリティ対策推進会議決定)に沿って粛々と移行作業が行われていた模様だ。ただし、移行作業は遅れていることが改訂時の資料から読み取れる。早く仕事を終えた部署が批判を受けた結果であり、気の毒な感じも否めない。
そのうえで、
- Firefox開発側とのやりとりで政府側の返事がない
- iOS:信用できるルート証明書の一覧にも見当たらない
という事実からみるに、政府はブラウザ/OSに新しい証明書を同梱させることを断念、というか敢えて行わないことにしたのだ、と思うようになった。
1/24付でアプリケーション認証局2は、「WebTrust for CA」の規準に基づく検証報告書を取得。「主要なWebブラウザにおいて「信頼されたルート証明機関」に自己署名証明書を登録するための条件を満たした」としている。
政府の自己署名証明書を民間企業にお願いしてほぼ全自動で配ってもらうのではなく、敢えて国民ひとり一人がきちんと証明書の真贋を見極めた上で導入しなさい、と。
と、ここで、その方法の案内が不足しているな、ということになる。
そういえば、昔、自らの公開鍵を配る際に行ってきたこと。そうだ、これと同じことをすればよいのか。
その方法とは、
2) 鍵を拾ってきた人は、鍵のフィンガープリント(指紋、拇印 などともいう)をとる
3) 鍵を公開した人に直接聞く、もらった名刺に刷ってあるもの、すでに信頼できる状態で導入済みの人に聞く、等々、なるべくたくさんの手段で入手したフィンガープリントと照合し、自分なりに納得できたら、信頼することにして導入を決断する
である。(ちなみに、PGPという仕組みの公開鍵は「キーサインパーティ」を開いて集団で直接顔を突き合わせ、効率的にお互いを信頼したりする)
で、今回の「アプリケーション認証局2」の証明書も同様でいいのだ。
2) フィンガープリントも多数入手する。公式は「官報(平成25年9月10日第6128号)での公示」。これも、知人や信頼できるっぽい有名人などから、ブログ、twitterでのつぶやき/DM、LINE、手紙、口頭、電話 等々でなるべく多数入手する
3) 1) 2) で得られたものがすべて一致していたら、おそらく本物であろうと信じて自分の環境に導入する
で、いいんじゃないかなぁ。
アプリケーション認証局2(Root)のフィンガープリントの確認ページが新設された模様。このページはアプリケーション認証局(「2」ではない)で署名された証明書を用いたhttpsのサイトで公開されている。
あ、自分の環境に導入する方法については、自分で調べてね。
-----
更新履歴:
2013/12/17 03:50 v0.1
2013/12/26 01:11 v0.11 法務省「登記ねっと」の画像を追加
2013/12/26 01:47 v0.12 フィンガープリント確認ページができたことを追記
2014/01/14 17:14 v0.20 ハローワークのサイトがVeriSign発行の証明書を使い始めていることを追記
2014/01/24 15:48 v0.21 影響のありそうなサイトに総務省「電波利用 電子申請・届出システム」を追加
2014/01/27 14:56 v0.22 影響のありそうなサイトに国交省「自動車保有関係手続のワンストップサービス」を追加
2014/01/27 15:09 v0.30 アプリケーション認証局2がWebTrastCAの認定を得た模様であることを追記
2014/03/06 09:35 v0.31 Bugzilla上でのやり取りが進行していること、OS X 10.9.2 に証明書が含まれたことを追記
2014/06/26 17:40 v0.40 ハローワークのメンテ告知に関して冒頭に追加
2014/07/22 23:03 v0.41 ハローワークのメンテ後、証明書に変更がなかったことを追記
2019/12/09 08:56 v0.99 アプリケーション認証局2の業務自体が終了した