にしし ふぁくとりー(西村文宏 個人サイト)

Presented by Nishishi via Movable Type. Last Updated: 2015/09/22. 13:23:36.

ルート証明書が信頼できるかどうかはどうやって判断?

IPA(情報処理推進機構)で某手続きをするには、IPAの発行した申請用電子証明書(クライアント証明書)が必要になるとのこと。というわけで、早速IPAの電子申請システムの利用説明ページから手続き。

説明によると、まずは、IPAが発行する「ルート証明書」をダウンロードして自分のブラウザにインストールせよ、とあります。ルート証明書とは、デジタル署名を発行する認証局自身の署名のことですね。つまり、IPA自身が認証局になれるようにする、ということですね。

IPAのルート証明書ルート証明書をダウンロードして実行すると、右図のようなダイアログが現れます。「このCAルート証明書は信頼されていません。」と出ています。まあ、そりゃそうですよね。で、こいつをインストールしてやることによって、このルート証明書が有効になるので、IPAが発行するデジタル証明書が自動的に信頼されるようになるわけですね。

…ええと、このルート証明書自身が信頼できるものである、というのはどうやったら分かるんだ?(^^;;;

もし、「なんちゃってIPA」から偽の証明書をダウンロードしてインストールさせられそうになっているという状況だとした場合、「このルート証明書をインストールすべきではない」と気づけるには、何をどう確認したらいいんだろうか?(^^;)

…このIPA独自の「ルート証明書」はSSL経由でアクセスしているWebページからダウンロードしてるのだから、SSLを使ってるということは、(ブラウザに最初からインストールされている)大手認証局から発行された信頼できるデジタル署名を使っていることが分かるので、ここからダウンロードできるルート証明書も信頼できる、と考えていいのかな?

IPAの「ルート証明書」配布ページは、VeriSignが発行してる証明書でSSLを使ってました。だから、まあ、SSL通信自体に問題はないと思うのだけど、それと、「IPA独自のルート証明書を使うことに問題がない」かどうかは別問題のような気がするんだけど。^^;
どうなのかなあ。

信頼されたルート証明書リストIEのメニューから、IEにインストールされている証明書のリストを表示させてみたのが右図。…こんなにいっぱい入ってんのか。(^^;;;
VeriSignと他数社くらいの証明書が入ってる程度だろうなーとか思ってたら、こんなにいっぱいあるし。^^;

で、IPAが発行するルート証明書をインストールして、クライアント証明書の発行依頼をWeb上から送信。2~3日後に、クライアント証明書のダウンロードURLとパスワードがメールで送られてくるらしいです。…なんで、2~3日後?
まあそれはともかく、メーラやサーバのスパムフィルタでフィルタリングされなければいいんだけど。(^^;;;

まあとりあえず、2~3日待ちましょう。

コメント

コメント数: 0件

コメント投稿欄 この日記に対するコメント投稿を歓迎します。

保存しますか?



※本文中にURLは書けません。(書くと投稿が拒否されますのでご注意下さい。)

※投稿内容は、実際にページ上に掲載される前に、管理者によって確認される設定にしている場合があります。その場合は、投稿後にその旨が表示されます。たいてい1~2日以内には表示されるはずですので、気長にお待ち願います。m(_ _)m

トラックバック

このエントリーへのトラックバックURLを表示するにはここをクリック
※スパム防止のため、トラックバックURLは別ウインドウで表示します。(JavaScriptが有効でないと表示されません。)

--- 当サイト内を検索 ---