スポンサーリンク

無知な鯖管

実は毎日のように利用しているサイトで以下のようなサーバー証明書のエラーが出る。

ちなみに、このサイトは「東京証券取引所」の適時情報開示サービスのサイトである。 矢印に示したとおり、サーバー証明書の正当性を示すルート証明書に辿り着く事が出来ないので、天下のベリサインのサーバー証明書でありながら、その存在はニセモノとして取り扱われているのである。
実は、気が付かないうちに偽のサイトに誘導されているかもしれないのである。 何故なら、たとえ東京証券取引所のサイトから辿っていったところで、最初の東京証券取引所のサイトがニセモノであれば、気が付かないうちに偽のサイトに誘導されている可能性があるからである。
念のために、正常な表示はどんなものかを以下に示しておく。

このサイトが何のサイトであるのかは知る由もない(ググったらたまたま出てきただけ)のだが、きちんとルート証明書に辿り着く事が出来ており、少なくともサーバー証明書の正当性が示されているのである。 ちなみにベリサインのサーバー証明書は個人事業主では申し込む事が出来ない「企業の実在証明」付きであるので、比較的真っ当(と思われる)サイトであると考えて良いだろう。
では、これら二つの違いは何であろうか? それは、本来、ウェブサーバーに仕込んでおかなければならない中間証明書の有無が関係している。 東京証券取引所のサイトには中間証明書が仕込まれていないので上位に辿っていく事が出来ていないのである。 これ、真っ当な鯖管(サーバー管理者ですね)であれば常識として知っているはずですし、そもそもテストをすれば気が付く話な上に、ベリサインのサイトにもFAQとして出ているのであるが…
実は適当に様々なサイトを歩いていると、意外と多くのサイトで中間証明書の仕込み忘れを発見する事が出来る。 その様なサイトは、たとえサーバー証明書がインストールされていても、そのサーバー証明書の正当性を評価できないので、絶対にアクセスしてはいけないサイトだ。 正当性を証明できないサーバー証明書は、オレオレ証明書と何ら変わらないので、偽サイトである可能性が否定できないからである。
最初の図のように、サーバー証明書に関してのエラーが表示されたら「絶対に」アクセスしてはならない。 特に、個人情報の入力や、ユーザーID、パスワードの入力を求められるサイトでは「決して」アクセスしてはならない。 偽サイトである事を否定できないからである。 お気をつけあれ。
ちなみに、自分の事業用サイトでは「ちゃんと」中間証明書をインストールしてあるので、有効なサーバー証明書が導入されている事を確認できます。

コメント

  1. オレオレ証明書らしい

    12月9日に書いたこのエントリだが、東京証券取引所に対して問…

タイトルとURLをコピーしました