高木浩光＠自宅の日記

■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」

「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。

図1: 「サイバー大学SNS」に現時点で書かれている注意書き

「セキュリティの警告」画面が表示される場合があります。

実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。

このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい」をクリックせよという。*1

おそらく「セキュリティの警告」というのは別の警告ダイアログのことなのだろうが、「証明書には問題はなく」「『はい』をクリック」などと書いていると、利用者は誤った理解をしてしまうだろう。

よけいなことは書かないようにするか、もしくはきっちりと説明するしかない（どの警告はよくて、どの警告は駄目なのか）。

■ オレオレ警告を無視させている大学

IE 7の強烈な警告メッセージを無視させている（もしくは無視させていた形跡のある）ところは、さすがに少なく、11月17日の日記の追記に書いたところくらいしかみあたらなかったが、キーワードを変えてもう少し調べてみたところ、もう1か所見つかった。

• 東京理科大学 総合情報システム部 教育環境 VPNクライアント ソフトウェア ダウンロード

  ・こちらのダウンロードのページでは SSL を使用しています。SSL に対応したブラウザでアクセスしてください。

  ・学外からのダウンロードでは IE7 を利用していると、以下のような警告画面が出ます。 「https://www.ed.kagu.tus.ac.jp/download.htm」にアクセスしていることを確認して、「このサイトの閲覧を続行する」をクリックしてください。

「○○にアクセスしていることを確認して」という作業は何の確認にもなっていない。サーバ証明書の役割がフィッシング対策だと勘違いしているのだろう。

その他、IE 6について無視する指示を出しているものを探してみたところ、現在でもまだけっこうあるようだ。

現在も第一種オレオレ証明書で運用中で警告を無視させているところ

• 北星学園大学, 資料請求

  ・資料等請求のお申し込み・キャンパス説明会のお申し込み

  ※セキュリティの警告ウィンドウが表示されますが、セキュリティについては何ら問題ありませんので、安心して警告ウィンドウ中の『はい』をクリックしてください。

  発行者：E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = --
  発行先：E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = --
  有効期限：2006年2月3日 12:12:26

• 名城大学, 学生ポータルサイト 使用上の注意

  ４．学外からの学生ポータルサイトへのアクセス

  2.セキュリティの警告
  [はい]をクリックする

  学内及び学外から学生ポータルサイトへのアクセス マニュアル, 名城大学

  発行先：E = (略), CN = ccmoon.meijo-u.ac.jp, OU = Information Center, O = Meijo University, L = Nagoya, S = Aichi, C = JP
  発行者：E = (略), CN = ccmoon.meijo-u.ac.jp, OU = Information Center, O = Meijo University, L = Nagoya, S = Aichi, C = JP

• 横浜市立大学 キャンパスメイト 履修申請・確認・成績照会

  ※上記サイトはＳＳＬを使用したサイトです。
  セキュリティ警告の画面が出ますが、「はい」あるいは「続行」をクリックしてそのまま進んでください。

  発行者：E = (略), CN = web-server1, OU = office, O = yokohama-cu, L = yokohama, S = kanagawa, C = JP
  発行先：E = (略), CN = web-server1, OU = yokohama-cu.ac.jp, O = yokohama-cu, L = yokohama, S = kanagawa, C = JP

• 京都外国語大学, WebメールシステムFAQ

  Q２．学外からのログイン時に、セキュリティーの警告メッセージがでるのですが？

  A２．学外からアクセスする際には、ユーザーＩＤとパスワードを盗み取られることのないよう暗号化しています。このメッセージは、これにかかわるメッセージですので何ら問題はありません。メッセージは、以下のとおり２種類(図１・２)あり、図１・図２の順番で表示されますが、ともに“はい”で次に進んでください。

  発行者：CN = webmail.kufs.ac.jp, O = Kyoto University of Foreign Studies, L = Kyoto, S = Kyoto, C = JP
  発行先：CN = webmail.kufs.ac.jp, O = Kyoto University of Foreign Studies, L = Kyoto, S = Kyoto, C = JP

• 女子栄養大学食文化栄養学科 Webmailの使い方

  Active!mail　へアクセスすると、『セキュリティの警告』（図１）というダイアログが表示されますので、かならず『はい』をクリックしてください。

  発行者：E = (略), CN = webml.eiyo.ac.jp, OU = Certificate Authority, O = Joshi Eiyo Univ., L = Sakado-shi, S = Saitama-ken, C = JP
  発行先：E = (略), CN = webml.eiyo.ac.jp, O = Joshi Eiyo Univ., L = Sakado-shi, S = Saitama-ken, C = JP

• 九州大学 留学生センター 「セキュリティの警告」について

  本サイトにアクセスすると「セキュリティの警告」ウィンドウが表示されますが、問題はありませんのでご安心ください。

  本サイトではセキュリティ対策の一環として通信内容の暗号化（SSL）を行っています。この機能を利用するにはサーバにセキュリティ証明書をインストールする必要がありますが、この証明書を自分で発行していることにより「セキュリティ警告」ウィンドウが表示されます。

  通常の商用サイトなどでは、認証機関（ベリサイン社など）が発行したセキュリティ証明書を利用することで悪意の無い、実態のあるサービスであることを第三者（認証機関）に証明してもらいます。これは不特定多数が利用するサイトでは有効な手段です。 しかし、本サイトはお互いの存在が分かっている方が利用されますので、自ら発行したセキュリティ証明書を利用しています。

  珍しい思い込み。

  発行者：CN = alumni, OU = alumni, O = alumni, L = fukuoka, S = fukuoka, C = JP
  発行先：CN = alumni, OU = alumni, O = alumni, L = fukuoka, S = fukuoka, C = JP
  有効期限：2007年11月15日 16:01:40

• 新潟工科大学 ブラウザでメール

  「セキュリティの警告」ウィンドウが開くので「はい」をクリックする

  発行者：E = (略), CN = Snake Oil CA, OU = Certificate Authority, O = Snake Oil, Ltd, L = Snake Town, S = Snake Desert, C = XY
  発行先：E = (略), CN = edumail.cc.niit.ac.jp, OU = Webserver Team, O = niit, L = Kashiwazaki, S = Niigata, C = JP

• 三重大学工学部情報工学科 Black Board e-Learningシステム イントロダクション

  学科外からアクセスした場合，セキュリティに関する警告が表示されますが無視して「OK」等のボタンをクリックし，先に進んで下さい．

  発行者：E = (略), CN = el.info.mie-u.ac.jp, OU = FAC ENG, O = MIE UNIV, L = TSU, S = MIE, C = JP
  発行先：E = (略), CN = el.info.mie-u.ac.jp, OU = FAC ENG, O = MIE UNIV, L = TSU, S = MIE, C = JP

現在も第二種オレオレ証明書で運用中で警告を無視させているところ

• 東京経済大学 情報システム課 VPN接続サービス

  1．クリックすると、以下のような警告画面が出るので「はい（続ける）」をクリック。

  ※警告画面を出したくない方はこちらより証明書を取得してください。（証明書インストール後、ブラウザを再起動要）

  http:// からのダウンロードでインストールさせており安全でない。フィンガープリントの確認をさせているわけでもない。

  発行者：E = ??, CN = secure.tku.ac.jp, OU = ??, O = TOKYO KEIZAI UNIVERSITY, L = ??, S = ??, C = ??
  発行先：E = ??, CN = secure.tku.ac.jp, OU = ??, O = TOKYO KEIZAI UNIVERSITY, L = ??, S = ??, C = ??
  

• 梅花女子大学 学内者向け(CCS) 外部からのアクセス方法について 証明書のインストールについて

  「セキュリティの警告」という画面が表示されたら、「証明書の表示」をクリックして、証明書のインストールを行います。

  （中略）

  次に、以下の画面が表示されたら、「はい」をクリックします。

  （中略）

  「セキュリティの警告」画面に戻ってきますので「はい」をクリックします。

  そのままインストールさせており安全でない。フィンガープリントの確認をさせているわけでもない。

  発行者：E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = --
  発行先：E = (略), CN = localhost.localdomain, OU = SomeOrganizationalUnit, O = SomeOrganization, L = SomeCity, S = SomeState, C = --

• 東京富士大学 学外での学生用ウェブメール使用方法

  2. 右の「セキュリティの警告」ウインドウが表示されます

  3. とりあえず、Ａの「はい」ボタンを押せば東京富士大学ウェブメールのログイン画面になります。

  4. 自宅のパソコンで毎回アクセスする度にこのウィンドウが表示されるのを回避するには、Ｂの「証明書の表示」ボタンを押します。

  5. 右の「証明書」のウィンドウが表示されますので「証明書のインストール」ボタンを押して画面の指示通りに実行します。

  6. 以上の作業で次回から「セキュリティの警告」ウィンドウは表示されなくなります。

  そのままインストールさせており安全でない。フィンガープリントの確認をさせているわけでもない。

  発行者：E = (略), CN = email.fuji.ac.jp, O = email.fuji.ac.jp, L = Shinjuku, S = Tokyo, C = JP
  発行先：E = (略), CN = email.fuji.ac.jp, O = email.fuji.ac.jp, L = Shinjuku, S = Tokyo, C = JP

過去にオレオレ証明書を無視させていて、誤りを訂正していないところ

• 福岡大学 総合情報処理センター

  10月3日(水)8時頃より電子メールサービス（@fukuoka-u.ac.jp）における暗号化通信のための更新作業を行いましたが、 NetScape・FireFox等　一部ブラウザにおいて、警告メッセージが表示される現象が発生しています。現在原因を調査中ですが、暗号化通信についての問題は一切ありません。

  1.図1の画面が表示されるので、「この証明書をこのセッションのために一時的に受け入れる」にチェックをいれ、「OK」を押します。

• 山形大学 学術情報基盤センター WebMailの利用方法

  以下のような「セキュリティの警告」ウィンドウが2回表示されますが、それぞれ"OK""はい"をクリックしてください。（画像）

  現在はVeriSign発行のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。

• 東京学芸大学 WebClassについてよくある質問とその答え

  ログインやメニューのクリック時に「セキュリティの警告」「セキュリティ情報」等のウィンドウが表示されるが，問題ないか。

  WebClassと皆さんのコンピュータとが安全にやり取りできるよう，情報が保護されているために出てくる表示です。安心して「はい」をクリックしてください。（画像）

  現在はRSA Data Security, Inc.発行のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。

• 愛知淑徳大学 SSL-VPNサービスを利用した学内サーバへのアクセス（学生用）

  セキュリティ警告の画面が表示される場合、すべて「はい」もしくは「OK」をクリックしてください。（画像）

  現在はRSA Data Security, Inc.発行のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。

• 成城大学 メディアネットワークセンター

  アクセス時にセキュリティ警告が表示された場合は、証明書を受け入れてください。

  ipsCA発行の正規のサーバ証明書で運用されているようだが、オレオレ警告を無視するように説明している。（サイバー大学SNSのケースと同じパターンか？）

他にも、オレオレ警告が出る状態を放置している大学があるかもしれないが（実際、学生さんからタレコミが来たりする）、無視せよと明確な指示をしているものしか、ここでは取り上げられない。（手渡して証明書を配布している可能性もあるのだから。）