_ [ネット諸々] 自分でコースを描いて走らせる「Line Rider」のすごいコース集@GIGAZINE

面白すぎるよママ

_ [他] 究極の“仮眠枕”を求めて――「聞こえるごろ寝まくら」編@ITmedia

今愛用してるはまりんビーズクッションがいよいよダメになった暁には買ってみようかと

_ [システム運用] 総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件

Windows(R) Updateによる電子政府システム向けルート証明書の配信を開始@Microsoft

マイクロソフト、電子政府システムのルート証明書をWindows Updateで配布@INTERNET Watch

Windows Updateで電子政府システム向けルート証明書の配信を開始@ITmedia

マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布@ITPro
(日経本紙では「『電子政府』手続き簡略化」という見出しで、一見意味不明な内容でしたが、こっちの記事はストレートですね)

政府・官公庁の証明書をMSがWindows Updateで配布@/.J

というわけで、高木浩光@自宅の日記を中心に糾弾されてきた GPKI/LGPKI のルート証明書配布問題 (LGPKI Application CAに将来はあるのか) が、ここに来てかなり改善されることになりました。

それにしても、今回のマイクロソフトの対応はちょっと驚きです。

通常の Windows Update なら、「ルート証明書の更新プログラム」は「重要な更新」カテゴリに位置づけられていないため、自動更新でインストールされることはなく、ユーザ自身が Windows Update サイトを訪れて更新プログラムを能動的に選択してインストールしないといけなかったのに (実際 Windows 2000 に関しては今回もそう)、今回に限っては、Windows XP、2003、Vista では、LGPKI アプリケーション CA (第二世代) から発行されたサーバ証明書を持つサーバにアクセスすると、サーバにアクセスした瞬間に自動的にルート証明書がインストールされるようになっています。

第二世代アプリケーション CA を使用しているサーバの一つとして、広島市の電子調達システムのページ https://ebid.keiyaku.city.hiroshima.lg.jp/CALS/Accepter/ を例に流れを追ってみました。

まず、事前に Internet Explorer の信頼済みルート証明機関のリストを確認した。

LGPKI Application CA G2 はリストに登録されていない。

次に、広島市の電子調達システムのページ https://ebid.keiyaku.city.hiroshima.lg.jp/CALS/Accepter/ にアクセスしてみると、

何の警告もなく表示され、証明書情報を確認すると、Application CA G2 から証明書が発行されていることが確認できる。

改めて信頼済みルート証明機関のリストを確認すると、

いつの間にか Application CA G2 がリストに追加されている。

https://ebid.keiyaku.city.hiroshima.lg.jp/CALS/Accepter/ に初回アクセスした時のアクセス状況を Proxomitron で追ってみた。

以上のログから流れを追うと、IE は「アクセス対象が未知のルート認証局から発行された証明書で保護されており」「かつ何かしらの条件を満たした場合」に、

1. http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt をチェックし、
   (authrootseq.txt の中身は何かのハッシュ値と思われる18文字の16進数。次の authrootstr.cab の更新有無確認用?)
2. http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab をダウンロードし、
   (authrootstl.cab の中身は証明書信頼リスト authroot.stl が含まれている)
3. authroot.stl にあって自分のリストにはない証明書 (今回は http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/968338F113E36A7BABDD08F7776391A68736582E.crt) をダウンロードしインストールする
   (968338F113E36A7BABDD08F7776391A68736582E.crt は、https://www.lgpki.jp/CAInfo/AppCAG2.cer と同一のものだった)

ということが裏でこっそり行われるようだ。

WindowsUpdateによる電子政府システム向けルート証明書の配信について@Lucky Lovely Laboratory に書かれているように、上の自動インストールフローでは、自動ダウンロードが全て HTTP で行われているのが気になりましたが、2番目の authrootstr.stl がデジタル署名されているようなので、そこで検証されているのでしょう、おそらく。

IE のどのバージョンからこんな機能が実装されていたのか、気になるところです。マイクロソフトは内閣官房の要請を受けてこんな機能を作り込んだのでしょうか。それとも IE には実はだいぶ前からこのような仕組みを用意してあって、今回もそれを利用したに過ぎないのでしょうか。謎です。

ところで、LGPKI の自己署名証明書配付ページを久しぶりに確認したところ、自己署名証明書そのものもフィンガープリント一覧も、以前は生 HTTP だったのに、いつの間にかベリサインのサーバ証明書で保護された状態に変わっていました。(サーバ証明書の発行日は2006/07/11) その辺も改善されているようです。(もっとも自己署名証明書のダウンロード案内ページは保護されていないので、ログイン画面を SSL で保護していない脆弱性?とほぼ同様の問題が残っていますが)

「LGPKI の自己署名証明書・フィンガープリント一覧のページがオレオレ証明書化している, Mac OS X がいつの間にか LGPKI 対応になっていた」に続く。

_ [システム運用] 「安全な通信を行うための証明書」と呼ぶ悪習

それにしても、GPKI/LGPKI のルート証明書のことを「安全な通信を行うための証明書」と呼ぶ悪習はいったいいつまで続くのか。

まるで他の認証局の証明書では安全な通信は行えないみたいな呼び名ですね。よく各社が総務省に苦言を呈さないものだ。

_ [音楽] カヒミ・カリィのニュー・アルバム『NUNKI』が10月25日にリリース@Musicnet

memo

_ [他] 自転車保護通知→盗難届→回収は NG

先々月盗まれた自転車、この週末を逃すと処分されてしまうので取りにいってきますた。

保管費用1500円はどうなるのか、自転車は北警察署まで誰かが運んできてくれるのかそれとも保管所まで取りに行かされるのか

[自転車保護通知→盗難届より引用]

結果。

• 保護された後で盗難届を出した場合、警察も市役所も連絡してくれない
• 保護される前に盗難届を出していれば保管費用1500円は払わなくて良いが、保護された後の場合、本当に盗まれたのかはっきりしないため NG

というわけで1500円払わせられますた。

盗まれたら即届けを出さない奴が悪いと。

_ [ネット諸々] ASAHIネット、迷惑メール対策でOP25Bを導入@BB Watch

ASAHIネットもか…

_ [他] 滋賀県高島市マキノ町@Yahoo!地図情報

木の実の王国 マキノピックランド@マキノ町観光協会

やっぱり行かなきゃダメなのかなあ