Amazonのデジタル証明書の表示方法。

 一昨日書くつもりだった記事が,サイト移転に手間取ったせいで今日になってしまった。でも,書いておきたかった件なので,やはりアップしておこう。

 今回,DigiNotarの不正証明書発行による被害の話の関係で,仕事のときに個人情報保護のためにSSLで通信しようと私的デジタル証明書を作ったときのことを思い出した。

 私的というのは,公的機関の証明を受けていないということで,SSL通信の効果としては何も問題はない。もちろん,安全についての注意すべき点も,公的ものと同じだ。ただ,零細で斜陽の勤め先だったので,公的機関(例えば,VeriSignとか―こっちは今のところ問題は報告されていない―今回問題になったDigiNotarとか)で証明を受けるための予算を出してもらえなかった。使ってもらう相手先もだいたい決まっているので,使用開始の前にオフラインでお願いをすることにしていた。

 で,実際に相手先にお願いをする前に,同僚に使い勝手を試してもらったのだが,事前にかなり詳しく説明した(口頭でだった。これが問題だったかも。)にもかかわらず,明朝の報告で通信はできたが,私が言ったようなメッセージは出なかったといった人がひとりいた。実際に,仕事場で私が手順通りにやって見せ,警告画面ってこれのことだよと指摘すると,そういえばそんなのあったという話になった。

 私的証明書だと必ず警告が出るはずだが,それでも上記のように気づかない場合もある。しかもこんなのが出るよと口を酸っぱくして念押ししていてさえだ。無意識に,マウスで「はい」をクリックしていってしまうのだ。ブラウザによってメッセージの出方が違うのも問題だ。バージョン違いだけで様子が違うこともある。
 ましてや,WindowsUpdateなどで知らないうちにインストールされているルート証明書の場合だと,存在すら知らない人が結構多いだろう。
 今回,気をつけなさいと言われても何に気をつけるんだと困っている人も多いかもしれない。今どきだから,オンラインショッピングなどをすることは多いだろう。だから,実は,デジタル証明書のお世話になっているんだが,気づかずに使っているってことだ。

 というわけで,今日はデジタル証明書ってこんなものなんですよという話を,Amazon.co.jpを例にしようと思う。しかし,初めから問題があるんだ。さっき書いたようにブラウザごとに表示のしかたが違う。ブラウザ全種について説明するなんて不可能だから,「なんとかのツッパリ」にもならないかもしれない。まぁ,でもやらないよりはいいだろうという程度。他のブラウザの方は,頑張って自力でやってみてください。
 それから,ブラウザとしてはインターネット・エクスプローラの利用者が一番多いだろうからこれで行くが,我が家には,バージョン8しかないので,ご了承願う。

 前置きはこのくらいにして―相変わらず長いという突っ込みは無し!!―本題に入る。画像のアップの都合上横幅を狭くしているので,気をつけてほしい。

  1. http://www.amazon.co.jp/にアクセスすると,図1のようなページが表示される。(1)のところがhttp://になっていることを覚えておいてほしい。
  2. Amazonで買い物をするにはサインインをする必要がある。先に品物を選んで,後にサインインという人も多いだろうが,今回の場合は,すぐにサインインボタンを押してみよう。すでにAmazonのアカウントを持っている人は(2),初めての人は(3)をクリックする。実は,どちらをクリックしても現れるページは同じである。
  3. クリックすると,図2のように「セキュリティの警告」窓が現れる。過去のどこかの時点で,図2の赤丸の部分にチェックを入れてOKをクリックしたことがある人は,これが出ずに図3の画面になる。警告画面が出た人は,赤丸のところはチェックを入れないままにしておこう。そして,OKをクリックする。図3の画面になる。(4)のところがhttps://になり,(5)のところにカギマークが現れたことに注意。
  4. 次は,このカギマークをクリック。図4のように「Webサイトの認証」窓が現れる。ここでは,「VeriSign」という会社がwww.amazon.co.jpを認証している。(6)をクリックすると,Windows Internet Explolerのヘルプのページが現れ,ここにはサイトの信頼性を判断する方法が列記されていてとても大事なのだが,今回は信頼性のチェックではなく,証明書を表示してみるのが目的なので,(6)ではなく(7)をクリックする。
  5. パッと新しい窓が開く。これがデジタル証明。(図5)
  6. 「全般」「詳細」「証明のパス」とタブが3つある。各タブを押して内容をみてほしい。この証明書が通信を暗号化して安全を図り,そのおおもとの認証がVeriSignのものであることがわかる。
  7. これがあるからと言って絶対安全というわけではない。この記事の初めの方に書いたが,この種の証明書は私のような個人にも作れるのだ。ただ,その私的証明書の場合は,VeriSignのような会社の認証はついていない。親しい人とSSLを利用してより安全な通信をしたければそれでもかまわないが,Amazonのように不特定多数のお客様と取引したければ,どこか信用あるところに認証してもらう必要がある。それがこの場合,VeriSignなのだ。

 

 

 

 

 こう書けば,VeriSignと同種の会社であるDigiNotarが引き起こしたことが大変に困ったことで,しかもその規模がわからないということは,深刻な事態だということがわかる。各ブラウザのベンダーが,DigiNotarの証明書が使えないように,アップデートで素早く対応したことも納得できると思う。

追記(9/11): 次記事に書き足りないと感じたことを書きました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください