2014年11月26日水曜日

オレオレ証明書の更新

自分専用のホームページ、完全に私個人しか使っていないページが私のブラウザ起動時のホームページとして設定されています。

で、ちょっとそいつに、自分用の予定とかカレンダーとかあって、それを改造して通年一覧とか月齢とか六曜とか日干支とかgoogle calendarの表示に対応とかそういうくだらない作業をしていたところ、operaが再度bookmarkに対応した、という話を聞きこんでしまったので、興味本位にインストールしてみました。

そのホームページを設置してあるサーバ、これがオレオレ証明書でHTTPSをしゃべる。
というより自分個人で隣の部屋にあるサーバにverisignさんやらの高額な証明なんかいりませんわな。

でも、なぜかオレオレ証明書を信じてくれない。
IE11やopera12は文句も言わないのに、最新のoperaではダメ。

最近よくありがちな、理由も述べずにただひたすらダメでしたもうできません的な、よくわからないエラーメッセージだったので(opera!おまえもか!!)、おまけにブックマークもスピードダイアルとほぼ同じ使い方を想定している様子だったのでさっそくご退去いただきました。

もうoperaは12で終わりだね。12は最近いろんなサービス、たとえばgoogleさんとか、またはgoogleさんとか、に拒否されちゃうのが困るけど、使い方を強制されるよりそんなサイト使わないほうがましだなぁ、って思ってしまうので、まだまだ12にはお世話になりそう。

ほかのブラウザはどうか、とおもって、大嫌いスキなgoogle様がおつくりになられている、とっても素敵なブラウザらしいchromeを初めて能動的にインストールしてみました。(こちらの不注意でadobeさんなどに入れられてしまったことはあり、その際にはすぐに消していました。)

インストール時にインストール先を聞かれないで入っちゃったので、何か間違ったのかな?と思ってびっくりして再インストールしても同じ。
慌てて調べてみると、そういうアプリケーションだということを知って、あまりに薄気味悪くてまたすぐにアンインストールしてしまった・・・のち、ほかのブラウザの挙動を調べる、という目的を思い出したので、やむなく再再インストール。とても我ながらあほ。

インストールして知ったけど、operaの最新とchromeってあれどっちかがどっちかをパクってるくらいにへぼさがそっくり。ま、これはほんとに不要な一言。
ああいうのが時代の最先端だちゅうのだったら先端なんかいらねえよ、とか思いつつ、自分のホームページにアクセスしてみたところ、chrome閣下も全く同じようなエラー。
だけど、こっちはなにやらエラーステータス的な文字が。

お、ちょっと技術的なヒント出してくれるところは好感持てるな!とおもってちょっと見直しつつ、これを手掛かりにいろいろ検索してみると、最終的にはすべてのブラウザがこういう事態に陥るということがわかりました。

というのも、そのサーバが出す証明書は誰かによって認証されている必要がある、ということで、ここでほんとに不特定多数な人間相手ならば第三者による認証、今回のケースの場合は私による認証、が必要になります。
利用者側はサーバにアクセスするときに、その認証者が本当にこのサーバを認証したの?っていうのをチェックしてくれるのがブラウザなわけですが、認証するときに使われるアルゴリズムがもう、最近のPCで簡単に割れちゃうね、っていうことなので、もうやめようよ、ということになったそうです。これが2013年。マイクロソフトさんが言いだしっぺです。

昔もこんなことがあって、認証アルゴリズムでmd5を利用していたんだけど弱いからsha1にしようよ、という話はあって、割とsha1に移行は進んだもののいまだにmd5で残っててもブラウザ側は特に警告も出さないで暗号化されてんならいっか、という感じでこれまで来ました。こんなこともあって、不安を感じたMSさんは、もうやめよう、こわいでしょ、って言い出したんでしょう。

ただ、もうさまざまサイトで暗号化通信のための証明書が利用されていて、一括更新してもらえるほど市場が狭くない。というより、よくわかんないまんま運用しているショッピングサイトとか山ほどある、そもそも認証局側だってsha1で証明書だしてんだからよぉ、という事情もあって、2017年で終わりだからね!やっといてね!ってことにしていたようです。今年に入っても、高い暗号強度の証明書への移行は1,2割程度の進捗ラシイです。

そこでいきなりブチ切れて数年も前倒しで「このサイトは絶許」とかどかーんとやったのがchrome。

さらに徹底しているのが、マイクロソフトなどはhttpsとかしゃべるサーバの証明書がsha2であれば許してやるつもり(現時点)の方針なのですが、chromeさんは中間証明局を含めて、全部証明にかかわるやつの暗号強度をチェックして、途中だれか一人でも暗号強度が弱ければ、その通信相手はアブナイ、と警告するところまで踏み込みました。

ということで、先ほどダウンロードしたchromeさんがそういう急先鋒にいて、ブラウザ本体の機能を調べることもできずにずっとオレオレ証明書の更新からかかるということに。
オレオレ認証局の最終更新からもう10年以上たっていました。10年一昔というけど。。。感慨深いものがありました。余談です。(この文章そのものが余談ですが)

このブラウザ(chrome)自体はさまざまな理由で使う気はやっぱり失せましたが、証明局と証明書の更新は結局はやらなくちゃいけなかったので早めに知ったこと自体は素直にありがたかったです。

これはたぶん認証局商売やってる人はめちゃくちゃおいしいだろうし、たぶんそーゆー業界では降ってわいたような商材みたいなもんですよね。
一方、以前の暗号強度で証明してもらったほうは、有効期限前にブラウザに信用できないですわこのサイト、とかいわれて、以前証明してもらったのに暗号強度が違うから別料金とかいわれて意味不明、お前が証明したんだろ、証明したという証拠が証明書なんだろふざけんな、とか、その辺の阿鼻叫喚も想像できてとても愉快ですね。

まあ、うちの場合は認証局が手元にあるのでopenssl req のオプションに -sha256 を追加するだけですのでいいんですけど、また今回も業界をリードする企業としての責任感として発揮されるスバラシイ独善性に触れてしまったように思いシビれて、ちょっとまた嫌いにスキになりました。


0 件のコメント:

コメントを投稿