政府系サイトで表示される「安全な接続ではありません」

安全な接続ではありませんと表示されたら

対象

政府系のサイトを見ているとたまに表示された事がある人もいると思います。
本記事ではFirefox利用者向けです。

例えば電子政府のe-govのパブコメ投稿とかはエラーが出ます。
登記供託オンライン申請システム(登記ねっと、供託ねっと)もエラーです。

簡単な解決策

Internet ExplorerかGoogle Chromeを使えばエラーは出ないと思います。

Firefoxでも見られるようにしたい

実際に実現可能?

可能です。一言で言えばルート認証局として、GPKI運用の認証局を採用する、ということになります。

手順について先に書いてあとで仕組みをご紹介します。
セキュリティ的に非常に重要なものなので本記事で必ずしも責任が取れない点だけご了承ください。

手順

電子証明書のダウンロード

まず、Internet Explorerから証明書のダウンロードサイトに移行します。

https://www.gpki.go.jp/apca2/guidance_firefox.html

「アプリケーション認証局2(Root)の自己署名証明書」のリンクをクリックして
ファイルをダウンロードします。

Firefoxに電子証明書をインポート

Firefoxを起動し、オプション > 詳細 > 証明書 > 証明書を表示
と進み、認証局証明書のタブをクリックします。
表示されたインポートボタンを押し、先ほどのダウンロードしたファイルをインポートします。

するとポップアップが現れます。

いきなりOKは押さずに、証明書を表示をクリックします。

ここで出てきた表示を以下の値と見比べます。
https://www.gpki.go.jp/selfcert/finger_print.html

具体的には上のサイトの「アプリケーション認証局2(Root)の自己署名証明書」の
フィンガープリントSHA-256の値と
先ほどFirefoxで表示させた出力のうちのSHA-256 フィンガープリントを比較して
同じ値であればOKです。

今日時点はこの数値になっていますが今後値が変わったとしてもこのサイトと
Firefoxでの表示がおなじになっていることを必ず確認しましょう。

確認できたら最後に「この認証局によるWebサイトの識別を信頼する」にチェックし、「OK」すれば
完了です。

仕組み

なぜこのようなことが必要なのかというと、政府が発行している電子証明書の仕組みであるGPKIの
利用しているルート認証局の証明書がFirefoxに入っていないからです。

なでFirefoxがこの作業が必要で、InternetExplorerやGoogle Chromeで不要かというと
これらのブラウザにはもともとルート認証局の証明書としてインストール済みとなっているからです。

証明書をInternetExplorerからダウンロードした理由

特にGPKIで細かい推奨していないのですが、当サイトではInternet Explorerを使ったほうが
いいと思っています。

フィンガープリントが一致していれば特にセキュリティ上問題ないのですが、
実際問題としてフィンガープリントをきちんと確認するユーザがあまりいないことを
考えるとせめてダウンロードをInternetExplorerで実施することで、安全にファイルを
ダウンロードすることができます。

補足説明

冒頭で、今回の手順が非常にセキュリティ上重要な作業であると伝えている理由は
説明している設定が「GPKIをどっぷりと信用するようにFirefoxの設定変更をすること」を意味するからです。

Internet Explorerは初期状態ですでに「どっぷりと信用」している状態なのですが、
何を信用するかは個人の判断なのでGPKIが信用できないという場合は
引き続き電子証明書はインポートせず、Firefoxが警告するサイトはそのままアクセス
を中止するというのがおすすめです。

余談

GPKIのサイトがhttpアクセスを提供しているのはあまり良くないですね。
GPKIのサイト内で各ページのリンクがhttpとなっていることが多いですがhttpsでアクセスしたほうが良いと思います。

Pocket

Leave a Reply

メールアドレスが公開されることはありません。