高木浩光＠自宅の日記

■ サーバ証明書の期限切れ事故を防止するには？

JPNIC認証局なるものが実験運用されているようだ。利用対象者は「IPアドレス管理指定事業者」に限定されているため、物理的に配布されている「JPNIC認証局証明書の入手と確認の手順」に従うことになっているらしい。「誤った認証局証明書の組み込みは、Webサーバのなりすましの原因になります」との警告もされている。

それでもなお、fingerprintがWebにも掲示されている*1。ただし、https://serv.nic.ad.jp/capub/fingerprint.html という https のページに。そして、そのサーバのサーバ証明書は VeriSign発行のものになっている。そこまではよい。

だが、その証明書が7月20日で期限切れだ。

図1: JPNICの運用中のhttpsサーバで証明書が期限切れとなっている様子

こうした事故はしばしば見かけるが、どうやって防止するのがよいのだろう？

• 担当者が年がら年中、気にかける。

• 期限がくると自動的に証明書が消滅するようにしておく。

• 1年で故障するタイマー内蔵のサーバコンピュータを採用する。

• 最初に見つけた人が意地悪せずこっそり教えてくれるよう徳を積んでおく。

• 期限切れが近づくと教えてくれる証明書ベンダから証明書を買う。