2006年09月12日
■ 「『サイト名と一致しません』という項目のみの警告であれば問題ありません」?
「site:cns-jp.com」で検索すると、33か所の https:// のサイトがヒットする。どうやら、各地の地方銀行が提供している情報サービスのようだ。ところが、このうちのいくつかをクリックすると、SSLの接続で以下の警告が出る。
警告の出るのは以下の9か所だけ。他は正常に運用されているのが謎だ。
- https://www.hokkoku.cns-jp.com/
- https://www.okinawa.cns-jp.com/
- https://www.hokuriku.cns-jp.com/
- https://www.gogin.cns-jp.com/
- https://www.oitabank.cns-jp.com/
- https://www.hokuetsu.cns-jp.com/
- https://www.iyo.cns-jp.com/
- https://www.shinwabank.cns-jp.com/
- https://www.bugin.cns-jp.com/
従業員もこの警告を疑問に思っていないということだろうか。
証明書の内容はいずれも図2の内容になっている。
Betrusted Japan 発行の正規の証明書ではあるようだが、この Subject はいかがなものか。
CN = www.cns-jp.com OU = cns-original O = CNS L = Chiyodaku S = Tokyo C = JP
東京都千代田区の「CNS」? *1 こんな会社名とも記号ともわからないような名前でも証明書を取れるのか……。
もしやまた「問題ありません」とか書いていやしないかと、「セキュリティ証明書の名前が無効 問題ありません」で検索してみたところ、ぜんぜん別のところがヒットした。
- 独立行政法人 製品評価技術基盤機構 化学物質排出把握管理促進法 よくある質問(インターネット方式)
Q1.ログインしようとすると、セキュリティの警告ウィンドウが出てきます。
A1.下の画面のように、「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません。」という項目のみの警告であれば問題ありませんので、はい(Y)を押してください。
問題ないわけがない。(証明書の内容を見るならまだしも*2。)訂正*3
この警告が出る原因は、なぜか「https://202.241.xxx.xxx/」と数字IPアドレスのURLにアクセスする(アドレスバーを隠しながら)ようになっているためのようだ。せっかくVeriSignから証明書を買っているのに持ち腐れだ。
15408には適合するのだろうか。
*1 CNS で検索してみると「地銀ネットワークサービス株式会社」という会社が千代田区にあるらしいことはわかったが、これと関係あるかどうかはわからない。
*2 「信頼された証明機関から発行されています」の場合ならば、証明書の中身を見ることに意味がある。
*3 証明書の中身を確認しても駄目。確認した後、次のアクセスのときに通信路上で別のインチキ証明書に差し替えられる攻撃があり得て、ブラウザがそのときにはもう警告を出さない実装になっている。(たしか。)