2007年12月01日
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」
「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。
「セキュリティの警告」画面が表示される場合があります。
実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。
このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい」をクリックせよという。*1
おそらく「セキュリティの警告」というのは別の警告ダイアログのことなのだろうが、「証明書には問題はなく」「『はい』をクリック」などと書いていると、利用者は誤った理解をしてしまうだろう。
よけいなことは書かないようにするか、もしくはきっちりと説明するしかない(どの警告はよくて、どの警告は駄目なのか)。
■ オレオレ警告を無視させている大学
IE 7の強烈な警告メッセージを無視させている(もしくは無視させていた形跡のある)ところは、さすがに少なく、11月17日の日記の追記に書いたところくらいしかみあたらなかったが、キーワードを変えてもう少し調べてみたところ、もう1か所見つかった。
- 東京理科大学 総合情報システム部 教育環境 VPNクライアント ソフトウェア ダウンロード
・こちらのダウンロードのページでは SSL を使用しています。SSL に対応したブラウザでアクセスしてください。
・学外からのダウンロードでは IE7 を利用していると、以下のような警告画面が出ます。 「https://www.ed.kagu.tus.ac.jp/download.htm」にアクセスしていることを確認して、「このサイトの閲覧を続行する」をクリックしてください。
「○○にアクセスしていることを確認して」という作業は何の確認にもなっていない。サーバ証明書の役割がフィッシング対策だと勘違いしているのだろう。
その他、IE 6について無視する指示を出しているものを探してみたところ、現在でもまだけっこうあるようだ。
- 現在も第一種オレオレ証明書で運用中で警告を無視させているところ
- 北星学園大学, 資料請求
・資料等請求のお申し込み・キャンパス説明会のお申し込み
※セキュリティの警告ウィンドウが表示されますが、セキュリティについては何ら問題ありませんので、安心して警告ウィンドウ中の『はい』をクリックしてください。
発行者:E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = --
発行先:E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = --
有効期限:2006年2月3日 12:12:26 - 名城大学, 学生ポータルサイト 使用上の注意
4.学外からの学生ポータルサイトへのアクセス
2.セキュリティの警告
[はい]をクリックする発行先:E = (略), CN = ccmoon.meijo-u.ac.jp, OU = Information Center, O = Meijo University, L = Nagoya, S = Aichi, C = JP
発行者:E = (略), CN = ccmoon.meijo-u.ac.jp, OU = Information Center, O = Meijo University, L = Nagoya, S = Aichi, C = JP - 横浜市立大学 キャンパスメイト 履修申請・確認・成績照会
※上記サイトはSSLを使用したサイトです。
セキュリティ警告の画面が出ますが、「はい」あるいは「続行」をクリックしてそのまま進んでください。発行者:E = (略), CN = web-server1, OU = office, O = yokohama-cu, L = yokohama, S = kanagawa, C = JP
発行先:E = (略), CN = web-server1, OU = yokohama-cu.ac.jp, O = yokohama-cu, L = yokohama, S = kanagawa, C = JP - 京都外国語大学, WebメールシステムFAQ
Q2.学外からのログイン時に、セキュリティーの警告メッセージがでるのですが?
A2.学外からアクセスする際には、ユーザーIDとパスワードを盗み取られることのないよう暗号化しています。このメッセージは、これにかかわるメッセージですので何ら問題はありません。メッセージは、以下のとおり2種類(図1・2)あり、図1・図2の順番で表示されますが、ともに“はい”で次に進んでください。
発行者:CN = webmail.kufs.ac.jp, O = Kyoto University of Foreign Studies, L = Kyoto, S = Kyoto, C = JP
発行先:CN = webmail.kufs.ac.jp, O = Kyoto University of Foreign Studies, L = Kyoto, S = Kyoto, C = JP - 女子栄養大学食文化栄養学科 Webmailの使い方
Active!mail へアクセスすると、『セキュリティの警告』(図1)というダイアログが表示されますので、かならず『はい』をクリックしてください。
発行者:E = (略), CN = webml.eiyo.ac.jp, OU = Certificate Authority, O = Joshi Eiyo Univ., L = Sakado-shi, S = Saitama-ken, C = JP
発行先:E = (略), CN = webml.eiyo.ac.jp, O = Joshi Eiyo Univ., L = Sakado-shi, S = Saitama-ken, C = JP - 九州大学 留学生センター 「セキュリティの警告」について
本サイトにアクセスすると「セキュリティの警告」ウィンドウが表示されますが、問題はありませんのでご安心ください。
本サイトではセキュリティ対策の一環として通信内容の暗号化(SSL)を行っています。この機能を利用するにはサーバにセキュリティ証明書をインストールする必要がありますが、この証明書を自分で発行していることにより「セキュリティ警告」ウィンドウが表示されます。
通常の商用サイトなどでは、認証機関(ベリサイン社など)が発行したセキュリティ証明書を利用することで悪意の無い、実態のあるサービスであることを第三者(認証機関)に証明してもらいます。これは不特定多数が利用するサイトでは有効な手段です。 しかし、本サイトはお互いの存在が分かっている方が利用されますので、自ら発行したセキュリティ証明書を利用しています。
珍しい思い込み。
発行者:CN = alumni, OU = alumni, O = alumni, L = fukuoka, S = fukuoka, C = JP
発行先:CN = alumni, OU = alumni, O = alumni, L = fukuoka, S = fukuoka, C = JP
有効期限:2007年11月15日 16:01:40 - 新潟工科大学 ブラウザでメール
「セキュリティの警告」ウィンドウが開くので「はい」をクリックする
発行者:E = (略), CN = Snake Oil CA, OU = Certificate Authority, O = Snake Oil, Ltd, L = Snake Town, S = Snake Desert, C = XY
発行先:E = (略), CN = edumail.cc.niit.ac.jp, OU = Webserver Team, O = niit, L = Kashiwazaki, S = Niigata, C = JP - 三重大学工学部情報工学科 Black Board e-Learningシステム
イントロダクション
学科外からアクセスした場合,セキュリティに関する警告が表示されますが無視して「OK」等のボタンをクリックし,先に進んで下さい.
発行者:E = (略), CN = el.info.mie-u.ac.jp, OU = FAC ENG, O = MIE UNIV, L = TSU, S = MIE, C = JP
発行先:E = (略), CN = el.info.mie-u.ac.jp, OU = FAC ENG, O = MIE UNIV, L = TSU, S = MIE, C = JP
- 北星学園大学, 資料請求
- 現在も第二種オレオレ証明書で運用中で警告を無視させているところ
- 東京経済大学 情報システム課 VPN接続サービス
1.クリックすると、以下のような警告画面が出るので「はい(続ける)」をクリック。
※警告画面を出したくない方はこちらより証明書を取得してください。(証明書インストール後、ブラウザを再起動要)
http:// からのダウンロードでインストールさせており安全でない。フィンガープリントの確認をさせているわけでもない。
発行者:E = ??, CN = secure.tku.ac.jp, OU = ??, O = TOKYO KEIZAI UNIVERSITY, L = ??, S = ??, C = ??
発行先:E = ??, CN = secure.tku.ac.jp, OU = ??, O = TOKYO KEIZAI UNIVERSITY, L = ??, S = ??, C = ??
- 梅花女子大学 学内者向け(CCS) 外部からのアクセス方法について 証明書のインストールについて
「セキュリティの警告」という画面が表示されたら、「証明書の表示」をクリックして、証明書のインストールを行います。
(中略)
次に、以下の画面が表示されたら、「はい」をクリックします。
(中略)
「セキュリティの警告」画面に戻ってきますので「はい」をクリックします。
そのままインストールさせており安全でない。フィンガープリントの確認をさせているわけでもない。
発行者:E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = --
発行先:E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = -- - 東京富士大学 学外での学生用ウェブメール使用方法
2. 右の「セキュリティの警告」ウインドウが表示されます
3. とりあえず、Aの「はい」ボタンを押せば東京富士大学ウェブメールのログイン画面になります。
4. 自宅のパソコンで毎回アクセスする度にこのウィンドウが表示されるのを回避するには、Bの「証明書の表示」ボタンを押します。
5. 右の「証明書」のウィンドウが表示されますので「証明書のインストール」ボタンを押して画面の指示通りに実行します。
6. 以上の作業で次回から「セキュリティの警告」ウィンドウは表示されなくなります。
そのままインストールさせており安全でない。フィンガープリントの確認をさせているわけでもない。
発行者:E = (略), CN = email.fuji.ac.jp, O = email.fuji.ac.jp, L = Shinjuku, S = Tokyo, C = JP
発行先:E = (略), CN = email.fuji.ac.jp, O = email.fuji.ac.jp, L = Shinjuku, S = Tokyo, C = JP
- 東京経済大学 情報システム課 VPN接続サービス
- 過去にオレオレ証明書を無視させていて、誤りを訂正していないところ
- 福岡大学 総合情報処理センター
10月3日(水)8時頃より電子メールサービス(@fukuoka-u.ac.jp)における暗号化通信のための更新作業を行いましたが、 NetScape・FireFox等 一部ブラウザにおいて、警告メッセージが表示される現象が発生しています。現在原因を調査中ですが、暗号化通信についての問題は一切ありません。
1.図1の画面が表示されるので、「この証明書をこのセッションのために一時的に受け入れる」にチェックをいれ、「OK」を押します。
- 山形大学 学術情報基盤センター WebMailの利用方法
以下のような「セキュリティの警告」ウィンドウが2回表示されますが、それぞれ"OK""はい"をクリックしてください。(画像)
現在はVeriSign発行のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。
- 東京学芸大学 WebClassについてよくある質問とその答え
ログインやメニューのクリック時に「セキュリティの警告」「セキュリティ情報」等のウィンドウが表示されるが,問題ないか。
WebClassと皆さんのコンピュータとが安全にやり取りできるよう,情報が保護されているために出てくる表示です。安心して「はい」をクリックしてください。(画像)
現在はRSA Data Security, Inc.発行のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。
- 愛知淑徳大学 SSL-VPNサービスを利用した学内サーバへのアクセス(学生用)
セキュリティ警告の画面が表示される場合、すべて「はい」もしくは「OK」をクリックしてください。(画像)
現在はRSA Data Security, Inc.発行のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。
- 成城大学 メディアネットワークセンター
アクセス時にセキュリティ警告が表示された場合は、証明書を受け入れてください。
ipsCA発行の正規のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。(サイバー大学SNSのケースと同じパターンか?)
- 福岡大学 総合情報処理センター
他にも、オレオレ警告が出る状態を放置している大学があるかもしれないが(実際、学生さんからタレコミが来たりする)、無視せよと明確な指示をしているものしか、ここでは取り上げられない。(手渡して証明書を配布している可能性もあるのだから。)
*1 ちなみに、「実際にログインしてご利用いただくサーバの証明書には問題はなく」で検索してみたところ、同じ文面の書かれているサイトが1か所あった。
今回は「筑波大学」を取り上げさせていただきました。 皆さん、まず以下ページをご覧ください。(高木浩光@自宅の日記より) 「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 こんな銀行は嫌だ さぁ、皆さんの大学は紹介されていましたでしょうか! (..
- はてなダイアリー [daigaku-syokuin] ×253 : 200, 4, 4, 3, 3, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2018-09-03)
- はてなダイアリー [daigaku-syokuin 20080125] ×152 : 137, 14, 1 (2016-06-17)
- https://www.google.co.jp ×71 (2015-08-24)
- はてなダイアリー [daigaku-syokuin 20100202] ×101 : 97, 4 (2013-02-04)
- はてなブックマークコメント ×75 : 18, 16, 9, 8, 5, 4, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1 (2013-01-29)
- OKWave [qa4173241] ×51 : 24, 13, 6, 3, 1, 1, 1, 1, 1 (2010-11-27)
- はてなダイアリー [daigaku-syokuin 20080129] ×5 : 4, 1 (2009-12-11)
- はてなブックマークコメント [6668113/高木浩光@自宅の日記 - オレオレ警告を無視させている大学] ×4 (2009-01-16)
- http://soudan1.biglobe.ne.jp/qa4173241.html ×27 (2008-09-18)
- はてなダイアリー [johzan] ×5 : 3, 1, 1 (2008-08-16)
- Twitter [ayucat] ×2 : 1, 1 (2008-01-28)
- http://www.netcommons.org/modules/bbs/bbs_detail.php?block_i... ×7 (2008-01-22)
- 2ちゃんねる掲示板 [student 1194826968] ×4 : 2, 1, 1 (2007-12-15)
- はてなダイアリー [johzan 20071202] ×9 : 6, 2, 1 (2007-12-13)
- http://www.teu.ac.jp/linux/tuigwaa/pub/Member/06/yuta/トップページ... ×5 (2007-12-11)
- http://intraweb.sb.local/sys/comm_uni/diary_topic.asp?tpc_id... ×12 (2007-12-06)
- ココログ [stressfulangel cocolog] ×18 : 14, 2, 2 (2007-12-06)
- http://blog.t3.japantelecom/blog_01/b40/ ×6 (2007-12-04)
- mixi diary [262897] ×10 (2007-12-04)
- ime.nu /20071201.html ×6 (2007-12-04)
- http://blog.t3.japantelecom/blog_01/b40/index.php?itemid=863... ×101 (2007-12-03)
- はてなダイアリー [sakaue] ×4 (2007-12-03)
- セキュリティホールmemo ×1236 : 1121, 88, 15, 11, 1 (2007-12-03)
- はてなダイアリー [ringod 20071202] ×15 (2007-12-02)
- http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_i... ×7 (2007-12-02)
- http://www.moongift.jp/list.html ×4 (2007-12-01)
- キーワード不明 ×91 / SomeOrganization ×59 / 証明書 CN OU ×38 / https://ccmoon.meijo-u.ac.jp ×36 / https://ccmoon.meijo-u.ac.jp/ ×28 / localhost.localdomain 証明書 ×26 / someorganization ×16 / https://webml.eiyo.ac.jp/ ×16 / 証明書 cn ou ×15 / セキュリティの警告 証明書 ×15 / この証明書は localhost.localdomain にだけ有効なものです。 ×11 / Cybertrust Japan Public CA ×9 / SomeOrganizationalUnit ×8 / http://ccmoon.meijo-u.ac.jp ×8 / 高木 証明書 ×8 / 証明書 localhost.localdomain ×8 / PKIよくある勘違い ×7 / -hiromitsu.jp オレオレ証明書 ×6 / 証明書 ou cn ×6 / ccmoon.meijo-u.ac.jp ×6 / 梅花女子大学 ×5 / ipsca ×5 / IE7 証明書 インストール ×5 / active mail 山形大学 ×5 / PKI 高木浩光 ×5 / 証明書 OU CN ×5 / PKI CN ×4 / オレオレ証明書 -hiromitsu.jp ×4 / 高木浩光 PKI ×4 / cybertrust japan public ×4 / 女子栄養大学 Active! mail ×4 / someOrganization ×4 / active mail 女子栄養大学 ×4 / PKI オレオレ証明書問題 ×4 / active mail 女子栄養 ×4 / -hiromitsu.jp PKIよくある勘違い ×4 / pki 警告 ×3 / ccmoon.meijo-u.ac.jp/ ×3 / 名城大学 学生ポータルサイト ×3 / 女子栄養大学 active mail ×3 / セキュリティの警告 localhost.localdomain ×3 / CN OU 証明書 ×3 / サーバ証明書 CN OU ×3 / SSL 証明書 CN OU ×3 / webml.eiyo.ac.jp ×3 / cn ou 証明書 ×3 / -hiromitsu.jp PKI ×3 / 大学 オレオレ証明書 ×3 / 大学 証明書 PKI ×3 / 名城大学 成績照会 ×3 / セキュリティ警告 証明書 ×3 / セキュリティ証明書 警告画面 出ない ×3 / PKIよくある勘違い -hiromitsu.jp ×3 / Active! mail 2003 女子栄養大学 ×3 / 証明書 CN O ×3 / 梅花女子大学 CCS ×3 / 東京富士大学 ×3 / 証明書 E CN OU ×3 / 証明書 CN ×3 / 証明書 PKI 無視 ×3 / https://webml.eiyo.ac.jp ×3 / -hiromitsu.jp 大学 ssl ×3 / http://webml.eiyo.ac.jp/ ×2 / PKI 略 ×2 / 高木浩光 pki ×2 / 証明書 E OU CN ×2 / -hiromitsu.jp 高木浩光 pki よくある勘違い ×2 / webclass tus ×2 / セキュリティーの警告 localhost.localdomain ×2 / cybertrust japan public ca ×2 / Cybertrust Japan Public CA オレオレ ×2 / PKI 警告 ×2 / ブラウザ 警告 オレオレ ×2 / クライアント証明書 CN OU ×2 / 証明書 発行者 localhost ×2 / https ://ccmoon.meijo-u.ac.jp/ ×2 / CN=localhost.localdomain ×2 / パスワード再発行 ×2 / オレオレ証明書 安全 ×2 / ssl someorganization ×2 / localhost.localdomain SSL ×2 / サーバー証明書 CN O ×2 / PKI OU ×2 / PKIよくある勘違い(11) ×2 / https://secure.tku.ac.jp ×2 / 山形大学 webmail ×2 / ベリサイン 証明書 localdomain ×2 / セキュリティ証明書 localhost.localdomain ×2 / オレオレ証明書 フィンガープリント ×2 / CN 高木浩光 ×2 / オレオレ証明書 自分だけ ×2 / 証明書 cn ou o l s c ×2 / ccmoon ×2 / localhost.localdomain 証明書 ie ×2 / PKI 高木 ×2 / この Web サイトのセキュリティ証明書には問題があります localhost ×2 / 高木 PKI ×2 / サイバー大学 sns ×2 / この web サイトのセキュリティ証明書には問題があります。 梅花 ×2 / オレオレssl 新潟大学 ×2 / -hiromitsu.jp 大学 ×2 / 九州大学 webmail ×2 / cn PKI 証明書 ×2 / セキュリティーの警告 証明書 ×2 / SSL 証明書 CN OU O L S C ×2 / localhost.localdomain 証明書 explorer ×2 / ipsCA ×2 / アクセス2007 セキュリティの警告 ×2 / ssl 証明書 cn ou ×2 / IE セキュリティの警告 ×2 / 女子栄養大学 webml ×2 / オレオレ証明書 北星学園大学 ×2 / 正規のウインドウ ×2 / 基盤センター 九州大学 サーバ証明書 ×2 / OU CN 証明書 ×2 / インターネットセキュリティ 警告 CN ×2 / セキュリティ証明書 出したくない ×2 / localhost.localdomain ×2 / ssl 証明書 そのまま続行する ×2 / 女子栄養大学 Active Mail ×2 / OU=SomeOrganizationalUnit ×2 / 高木 大学 オレオレ ×2 / yokohama ac jp univ alumni ×2 / http://ccmoon.meijo-u.ac.jp/ ×2 / Active mail 2003 女子栄養大学 ×2 / IE7 オレオレ証明書 インストール ×2 / -hiromitsu.jp 証明書 PKIよくある勘違い ×2 / webclass tus.ac.jp ×2 / 山形大学 webclass ×2 / 高木浩光 サイバートラスト ×2 / 名城大学 ポータルサイト ×2 / SSL 証明書 OU CN ×2 / SOMECITY ×2 / アクセス2007 セキュリティーの警告 ×2 / 女子栄養 active mail ×2 / セキュリティの警告 証明書 毎回 ×2 / ipsCA 大学 ×2 / セキュリティの警告 高木浩光 ×2 / セキュリティの警告 セキュリティ証明 はい ×2 / https://ccmoon.meijo-u.ac.jp/ ×2 / オレオレ証明書 大学 ×2 / セキュリティ証明書 無視 ×2 / 第一種オレオレ証明書 ×2 / cybertrust セキュリティの警告 ×2 / IE7 学外vpn ×2