IEが表示する「信頼する会社」とは・・・
こんにちは、丸山満彦です。高木さん@自宅のブログでは、電子証明書の話が続いています。WebTrust for CAの話もでてきたので 、そろそろコメントをしようと思いました。今回はIEが表示する「信頼する会社」とはなんだろうという話です。
高木さんが指摘するとおり、LGPKIのアプリケーションCAを信頼される認証局として利用しているウェブページを表示しようとする と、普通は
=====
セキュリティ警告
このサイトと取り交わす情報は、ほかの人から読み取られたり変更されることはありません。しかし、このサイトのセキュリティ証明 書には問題があります。
このセキュリティ証明書は、信頼する会社から発行されていません。証明書を表示して、この証明機関を信頼するかどうかを決定して ください。
このセキュリティ証明書の日付は有効です。
このセキュリティ証明書には、表示しようとしているページの名前と一致する有効な名前があります。
=====
という表示がされます。「信頼する会社」って、どんな会社?・・・
IEが「信頼する会社から発行されている」と認識するためには、IEの信頼される証明書ストアに、証明書が入っている必要があります 。
従って、IEが「信頼する会社から発行されていません。」というのは、IEの信頼される証明書ストアに証明書が入っていない状態ということができます。
IEの信頼される証明書ストアに証明書が入っている状態になるということは次のような状況が考えられます。
(1)IEをインストールした時に入っていた
(2)自分で入れた
(3)不正なコンピュータや他人が入れた
一度、証明書ストアに証明書が入ってしまうとその次からは信頼される会社から発行されてしまうため、セキュリティ警告がでなくな るために、(2)自分が入れる場合は、本当に信頼できるサイトかどうかを確認しなければならない。これが、高木さんの指摘だろう 。「とにかく、クリックして先に進んでください。」ではなく、「信頼される会社から発行されていることを確認するように指示しな くてはだめでしょう」ということですね。
それでは、(1)と(3)の場合はどうなんでしょうね。(1)はマイクロソフトが信頼できると考えている会社の証明書をあらかじめ登録しているということですね。つまり、IEの利用者は、これを自分の意思とは関係なく無条件に信頼してしまっていることになりますね?果たして無条件に信頼してしまってよいのでしょうか?
もし、あなたが
①マイクロソフト社をそもそも信頼していない人
②マイクロソフト社の登録プロセスを信頼していない人
③マイクロソフト社がIEに登録する企業についての考え方を信頼していない人
のいずれかに該当する場合は、信頼する会社から発行されていることにはならないのではないでしょうか?
ちなみに、マイクロソフト社は公認会計士がWebTrust for CAの監査をし、適正意見を出した認証局を信頼できる認証局として登録し ているようです。そうであれば、②③は次のような人になりますね。
②WebTrust for CAを取得しつづけている認証局のみがタイムリーに登録されるプロセスになっていることを信頼していない人
③マイクロソフト社がIEに登録する企業できる信頼できる企業とは、「公認会計士によるWebTrust for CAの適正意見を得ている会社 である」、という考え方を信頼していない人
最後に(3)です。
これは技術的に可能かどうかは私も知らないのですが、ウイルスやスパイウェアによって、本人が知らないうちに勝手に証明書をイン ストールしてしまうということも起こりうるかもしれません。
本当は、「自らが認証局を信頼すべきかどうかを判断しなければならない。」という原則をきちんと利用者に教えるべきですね。次に 、具体的にどのようなやり方をすれば、認証局が信頼できるかどうかを決めることができるのか?ということを教えるべきですね。
このあたりの原則と順番を間違えたまま、世の中にPKIを普及させようとしてもダメなんじゃないでしょうか。
このブログの中の意見は私見であり、所属する組織の意見ではないことをご了承ください。
Comments