イントラ構築も一段落してWEBベースでのメールの閲覧ができたりするようになったので、次にやる事は出先からのアクセスとその時のセキュリティの確保だよなぁ…
ということで、個人で使う分には問題がない程度のセキュリティ(通信路の暗号化)の確保をするためにSSLでの通信を行えるようにApacheの設定変更などをしました。 いや、これはだいぶん前にしたんだった… でも、その時は何も考えていなかったのと外部からのアクセスは不可能な状態だったので適当にやったせいもあって、証明書の認証局が「Snake Oil CA」だったんですよねぇ。 さすがに、これでは何も考えていない事がバレバレなのでマジメ(?)に項目の設定をしてオレオレCA局を作り上げてみました。
別に赤の他人の個人情報を集めるようなものではなく、家庭内で使うイントラを外からも見る事ができるようにするだけですので実在証明もいらないし、サーバーの信頼性を云々する必要もないのでこれで良し。 あとは、必要なPCにオレオレCA局のROOT証明書をクライアントに「信頼されたルート証明機関」としてインポート(よい子は真似しちゃいけない!)するだけで問題なし。
ではなくて、実はDDNSを使って外からアクセスできるようにしているので宅内では問題ないサーバー証明書でもサーバー名が異なってしまうので「サーバーが違う!」と警告が出てしまうんですよね。 まぁ、これは内容を確認して良しとするしかないし、それくらいは確認しないと…
という情報が氾濫しているからなのでしょうか、役所が個人情報を入力させるようなものにまでオレオレCA局が使われているみたいで笑っちゃいます。 しかも、警告が出たら何も考えずに受け入れろというそうで… ここんところ毎日、高木浩光氏の「高木浩光@自宅の日記」を見て楽しんでいます。 特に「広島市曰く「警告は出ますがセキュリティ自体には問題ない」」とか「追記: 警告は無視してねと笑顔で市民に語りかける川崎市長」とかは傑作です。
と思っていたら、うちの会社のWebMailのサーバーで使っている証明書は笑うに笑えない代物でした。 オレオレどころじゃないという…
まぁ、視聴者の個人情報を集める訳じゃなくて(ライセンス数の関係で)限定された社員の出先からの閲覧用という事で、セキュリティに煩い前任者から「警告出るけど無視してネ」っていわれて何も考えないでみんな使い続けていたものだったのですが、その警告が出る証明書を見てみると…
発行所が前任者個人だったんですよねぇ。 まぁ、実際にオペレートして生成したのは別人(本人はオペレートはしない人だったようなので)だとは思いますけど… しかも、その当の前任者は既に退職して会社には居ない(という事は外部の人間という事になりますね)という、非常に危険極まりない状態だったんですよねぇ。
あ〜、予算無いから年度内は無理だけど、年度変わったらできるだけ早く対応せねば…
ちなみに、個人情報を入力させるところには、ちゃんとベリサインの発行した証明書を使っていますので御安心を。 信頼できる証明機関が発行した証明書を使うのは当たり前ですけどね。
