高木浩光＠自宅の日記

■ 「First Server」の認証局？

NHKエンタープライズ21の「RoBoCoN公式サイト」 で「問い合わせ」という部分をクリックするとジャンプする https:// のURL にアクセスしてみたところ、サーバ証明書はこうだった。

図1: RoBoCoN公式サイトのサーバ証明書

ファーストサーバ社のことだろうか？ いや、残念ながら私のブラウザでは この証明書の認証パスを辿ることができなかったので、ここに記載された名前 が真正のものかどうかはまったくわからない。信じてはいけない。 サーバ証明書なのに有効期限が10年と胡散臭いところで気づけばよいか。

というより、ファーストサーバ社は「Firstserver, Inc.」 なので違うのだろう。

ちなみに、ファーストサーバ社は、2004年6月からBIZCERTという認証局サービス を提供しているようだ。

(2) RSAセキュリティ社とのチェーン認証で二重の認証

チェーン認証で「二重の認証」ってなんだろうか。美味しいのだかなんだかわ からないが、こちらは正常な認証局のようだ。ちなみに、

「デジタル証明書」がWEBサイトの安全性を高める

と宣伝されているが、 サーバ証明書でWebサイトの安全性が高まるわけではない。 高まるのはそのWebサイトを使おうとしているユーザの安全性だ。

■ 「オレオレ証明書/認証局」が普通の言葉に

2月15日の登 大遊＠...SoftEther VPN 日記によると、 筑波大学の授業で普通に「オレオレ証明書」という用語が使われているらしい。

BroadBand Watch内の「BBっとWORD」 にも出ているようだ。

漫画「アキバ署」の次号ネタへの期待にも挙げられている。

■ 例示用には実在しないドメイン「example.com」等を

警視庁のサイトに「フィッシング詐欺にご用心」というページができていた。

送信者名をその企業の名前にして本文には「下記のＵＲＬ（ｈｔｔｐ：／／ｕｓｏｕｓｏ．ｃｏｍ）にアクセスして個人情報を入力しないと、あなたのアカウントは失効します」などというようにもっともらしく書かれています。

「usouso.com」……実在したらどうすんだー、と試しに http://usouso.com/ にアクセスしてみると、 本当に実在したよ。韓国のネットショップのようだ。

こういうときには予約済みドメイン名の「example.com」などを使うとよい。

• RFC 2606: Reserved Top Level DNS Names

しかし、嘘っぽさや、極悪っぽさや、被害者っぽさを醸し出すには、 example.com ではいまいち物足りないかもしれない。 「usouso.example」でもよいのだが、最後が5文字以上あるとインターネット のドメイン名っぽくない。

■ その県警サイトは本物？

警察庁の「フィッシング110番」のページの下の方に、各都道府県警察のWebサイトのURLが表で 示されているが、これをざっと眺めると、都道府県警察のドメイン名というの は判別しにくい。都道府県の下部組織なのだから、pref の左に police とな るのか。県庁のWebサイトの一部として設置されているところも多い。 その一方で、長野県警と静岡県警、高知県警、佐賀県警のサイトは、 地域ISPの普通のレンタルホームページにあるようなのだが……。

• http://www.avis.ne.jp/~police/keimu/hightech/index.htm
• http://www.wbs.ne.jp/cmt/kenkei/osirase/haiteku/haiteku.htm
• http://www.i-kochi.or.jp/hp/kenkei/seian/b_haiteku.htm
• http://www.saganet.ne.jp/kenkei/osirase/internet/internet.html

こんなんでええのんか？

秋田県警は、

• http://www.akita-kenkei.net/kenkei/soudan/03.html

と独自ドメインを使っているようだが、そのドメインの登録者名は……？？

■ 本日のコードメモ: OreOreTrustManager

class X509OreOreTrustManager implements javax.net.ssl.X509TrustManager {
    public void checkClientTrusted(
        java.security.cert.X509Certificate chain[], String authType
    ) throws java.security.cert.CertificateException {
    }
    public void checkServerTrusted(
        java.security.cert.X509Certificate chain[], String authType
    ) throws java.security.cert.CertificateException {
    }
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return new java.security.cert.X509Certificate[0];
    }
}
class OreOreHostnameVerifier implements javax.net.ssl.HostnameVerifier {
    public boolean verify(String hostname, javax.net.ssl.SSLSession session) {
        return true;
    }
}
static {
    try {
        javax.net.ssl.SSLContext ssl = javax.net.ssl.SSLContext.getInstance("SSL");
        javax.net.ssl.TrustManager[] tm = {
            new X509OreOreTrustManager()
        };
        ssl.init(null, tm, null);
        javax.net.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(
            ssl.getSocketFactory()
        );
        javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(
            new OreOreHostnameVerifier()
        );
    } catch (java.security.NoSuchAlgorithmException e) {
    } catch (java.security.KeyManagementException e) {
    }
}