昨日、チョット調べたいことがあって丸井今井のネットショッピングサイトにアクセスしてみました。そうしたら驚くべき結果になったのでチョット晒してみる。と言うかですね、この手のサイト実は結構多いんですよ。

丸井今井さん、フィッシングを防ぐためにEV-SSL対応のサーバー証明書を導入したんですね。大変結構なことだと思うのですが、残念なことに中間証明書が入っていないためにSafari6以前、Firefoxではエラーになってしまうのです。他のブラウザは中間証明書がインストールされているために、サーバー側に中間証明書が入っていなくてもエラーにならないのですが、コレは決して正しい状態ではありません。
サーバー証明書を取得すると、同時に中間証明書というものが配布されてきます。中間証明書とは何かというと、サーバー証明書が正しいものであることを証明するために大本の証明書(ルート証明書と言います)との間に介在する証明書になります。これがあることでサーバー証明書が確かに正しい証明書であることを証明してくれるのですが、サーバーに入っていない場合にはルート証明書まで辿ることが出来ないので、正しい証明書であることを証明できなくなるというものなのです。
なので、昔からサーバー証明書を扱っているエンジニアは中間証明書を入れなければならないことを知っているので問題ないのですが、最近のエンジニアは中間証明書がインストールされている「小さな親切大きなお世話」なブラウザしか知らないので、中間証明書の意味が判らず入れるのを忘れてしまうんですね。で、先ほどのような結果になるということになります。エンジニアの無知が引き起こすセキュリティ的な欠陥とも言えます。
サーバー証明書の取扱いとかはクラウドの時代になればこそ必須の技術ですので、エンジニアの皆さんはしっかり勉強しましょう。そして、先に挙げた丸井今井のような事態にならないようにしましょう。決して「安全なのでエラーを無視して下さい」なんていう嘘をついてはいけません。技術的に正しい運用をしましょう。

投稿者プロフィール

管理人
管理人