2007年02月12日
■ ファーストサーバ社は危険性をちゃんと顧客に伝えているのか
2年前の日記で、NHKエンタープライズ21の「RoBoCoN公式サイト」で「問い合わせ」という部分をクリックするとジャンプする https:// のページがオレオレ証明書で運用されていることについて書いた。証明書の発行者は「KSI First Server」と書かれていた。しかしこれがファーストサーバ社により発行されたものかは不明だった。 オレオレ証明書で運用されているこの状況は現在も変わっていない。そこで先月、ファーストサーバ社に以下の問い合わせをした。
Webサイトのデジタル証明書についてお尋ねします。 NHKのロボコン公式サイト http://www.official-robocon.com/top.html にある「問い合わせ」のページ https://www.official-robocon.com/FS-APL/FS-Form/form.cgi?Code=roboconmail05 でサーバ証明書の内容を確認しますと、 「発行者: KSI First Server」 と書かれています。 これは御社が発行されました証明書でしょうか? 以上の点、お尋ねします。
これに対し1月9日にファーストサーバ社より回答があった。それによると、これは、同社のレンタルサーバサービス利用者向けに、各種設定画面へのアクセス用として提供されている「プライベートサーバ証明書」だという。
その回答では、「時代背景の変化によりこの証明書に関して問題がございます事は弊社でも認識しておりまして」とあり、発行者の表記や運用規定を改定する準備をしているところとのことだった。
続けて以下の質問をしたが返事はなかった。
なるほど、それはすなわち、今回の事例は、レンタルサーバ利用者(サイト運 営者、この場合はNHK)が設定画面を操作する際に使用するために用意された SSLを、サイト運営者がサイトの一般利用者向けの SSLとして誤って使用して いるという意味でしょうか?
同時にNHKエンタープライズにも問い合わせをしていた。
このサイトのセキュリティの確認方法についてお尋ねします。 この問い合わせページ https://www.official-robocon.com/FS-APL/FS-Form/form.cgi?Code=roboconmail05 のSSLサーバ証明書(デジタル証明書)の内容を確認しますと、 「発行者: KSI First Server」 と書かれています。詳細を見ると E = anthrax@anthrax.ksi.ne.jp CN = KSI First Server OU = KSI Internet Service O = Kubota Systems Inc. L = Osaka S = Osaka C = JP とあります。これは大阪のファーストサーバ株式会社(旧クボタシステムズ)から 発行されたものをご使用になっているということと理解してよいでしょうか? 以上の点、お尋ねします。
すると1月10日に「高専ロボコン事務局」から回答があり、
お問合せフォームにつきましては、エラーメッセージの表示などで 大変ご迷惑をおかけしております。 ロボットコンテスト事務局はロボコン公式ホームページの運営にあたって、 ファーストサーバ株式会社のサービスを利用しています。 現在、正式なデジタル証明書の取得について申請中でございます。 なお、お問合せフォームへの記入内容につきましては、暗号化されて 送信されておりますのでご安心ください。
とのことだった。「暗号化されて送信されておりますのでご安心ください」は、事実に反する誤った説明である。
それから1か月が経過したが、状況に変化はみられない。
さらに検索して探してみると、他にも「KSI First Server」発行のオレオレ証明書で一般向けサービスを提供しているサイトがあるようだ。たとえば以下などがある。
- http://www.simple-stone.com/infomation/secu.htm
セキュリティ上はまったく問題ありませんので、安心して当店でのショッピングをどうぞごゆっくりとお楽しみ下さいませ。
このサイトもファーストサーバのレンタルサーバを使用しているようだ。
それどころか、ファーストサーバ自身のサービスにおいてもオレオレ証明書(第二種オレオレ証明書、証明書ポリシー及び認証局運用規定無し)が使われているようだ。
自分のところで正式な証明書発行サービスをやっているような会社が、なぜこういうことをするのか理解しかねる。
本日のTrackBacks(全1件)
[TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20070212]
ファーストサーバのコンフィグレーション画面にアクセスすると、毎回表示される。そう、オレオレ証明書だ。いつか設定されるだろうと思っていたが、2週間経った今も設定されてない。
- https://www.google.co.jp ×7 (2016-01-26)
- http://curated-media.com/c10903.html ×32 (2014-04-01)
- fc2 blog [nosoftbankno.blog84] ×999 : 946, 27, 17, 8, 1 (2014-03-14)
- はてなブックマークコメント ×65 : 44, 13, 7, 1 (2012-10-14)
- Twitter [1] ×2 : 1, 1 (2012-06-22)
- http://buzzurl.jp/entry/高木浩光@自宅の日記 - ファーストサーバ社は危険性をちゃんと顧客に伝え... ×8 (2009-08-19)
- http://www.choix.jp/getpost/51828 ×6 (2009-01-24)
- はてなブックマークコメント [3953807/高木浩光@自宅の日記 - ファーストサーバ社は危険性をちゃんと顧客に伝えているのか] ×5 (2009-01-05)
- はてなブックマークコメント [http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/] ×4 (2009-01-01)
- http://www.foxking.org/oldsite/?20070213S2 ×6 (2008-09-26)
- http://www.foxking.org/oldsite/?200702 ×12 (2008-06-27)
- http://zapanet.info/tundere/popular/ファーストサーバ.html ×11 (2008-04-23)
- http://www.mchs-u.net/mc/index.php?plugin=attach&refer=up&op... ×4 (2007-10-12)
- 2ちゃんねる掲示板 [robot 1179150921] ×7 : 3, 1, 1, 1, 1 (2007-09-26)
- http://spamnews.ddo.jp/archives.php?year=2007&month=02 ×9 (2007-08-16)
- http://www.misao.gr.jp/~koshian/?200702b ×6 (2007-05-22)
- http://www.mchs-u.net/mc/index.php?plugin=attach&refer=up&op... ×4 (2007-05-20)
- 2ちゃんねる掲示板 [robot 1165770883] ×6 : 3, 2, 1 (2007-05-16)
- http://isoya.at.webry.info/200703/article_14.html ×10 (2007-03-18)
- http://www.chikunavi.info/diary.html ×7 (2007-02-23)
- http://72.14.235.104/search?q=cache:1N7oH4Mvz1cJ:r.hatena.ne... ×4 (2007-02-20)
- www.otsune.com/diary/ ×2 : 1, 1 (2007-02-18)
- ime.nu /20070212.html ×103 (2007-02-15)
- http://www.misao.gr.jp/~koshian/?20070213S2 ×7 (2007-02-14)
- はてなダイアリー [KURO 20070214] ×5 (2007-02-14)
- ココログ [stressfulangel cocolog] ×18 : 11, 5, 2 (2007-02-13)
- mixi diary [103484] ×14 (2007-02-13)
- http://bsg.to/antena.html ×11 (2007-02-13)
- http://www.misao.gr.jp/~koshian/ ×17 (2007-02-13)
検索
- ファーストサーバ ×171 / キーワード不明 ×58 / ファーストサーバー ×42 / ファーストサーバ SSL ×36 / ファーストサーバ ssl ×16 / ファーストサーバ社 ×15 / ファーストサーバ 証明書 エラー ×11 / ファーストサーバー SSL ×9 / ファーストサーバー 顧客 ×8 / 高木浩光 ファーストサーバ ×8 / Firstserver Encryption Services ×8 / ファーストサーバ 高木 ×8 / firstserver ssl ×6 / first server ×6 / ファーストサーバ 証明書エラー ×6 / ファーストサーバ 証明書 ×5 / ファーストサーバー ssl ×5 / FS-APL/FS-Form https ×5 / /FS-APL/FS-Form/ https ×5 / firstserver SSL ×5 / kubota サーバー ×5 / FS-Form ×4 / ファーストサーバ クボタ ×4 / "ファーストサーバ" ×4 / 高木 ファーストサーバ ×4 / ファーストサーバ フォームCGI ×4 / ssl ファーストサーバ ×3 / 証明書のエラー ファーストサーバ ×3 / オレオレ証明書 危険性 ×3 / ファーストサーバ オレオレ ×3 / クボタ ファーストサーバ ×3 / ファーストサーバー フォームCGI ×3 / オレオレ証明書 ファーストサーバ ×3 / レンタルサーバー ファーストサーバ 証明書 危険性 ×3 / first server 証明書エラー ×3 / オレオレ証明書 site:http://takagi-hiromitsu.jp/ ×3 / SSL ファーストサーバ ×3 / ファーストサーバ 状況 ×3 / ファーストサーバー 証明書 エラー ×2 / 証明書 発行者 発行先 first server ×2 / ファーストサーバ株式会社 ×2 / ファーストサーバー社 ×2 / ファーストサーバ https ×2 / ファーストサーバ SSL ×2 / レンタルサーバー 危険性 ×2 / ksi クボタ ×2 / robocon ×2 / FS-APL ×2 / domain-pack.DO-REG.jp ×2 / オレオレ証明書 site:takagi-hiromitsu.jp ×2 / KSI サーバ ×2 / firstserver ssh ×2 / Webサイトのデジタル証明書 「オレオレ証明書」 ×2 / レンタルサーバー 設定 ファーストサーバー ×2 / ファーストサーバー 証明書エラー ×2 / ファーストサーバとは ×2 / http://support.domain-pack.do-reg.jp/ ×2 / ファーストサーバ 高木浩光 ×2 / kubota ファーストサーバ ×2 / 自宅サーバーの危険性 ×2 / HTML 危険性 ×2 / ファーストサーバー クボタ ×2 / 自宅サーバー 危険 ×2 / 高木浩光 ファーストサーバー ×2