「オレオレ証明書」にご用心？ あなたのPCを守る認証システムを考える：クライアントセキュリティ大作戦（3/4 ページ）

[小林哲雄，ITmedia]

自作自演？　「オレオレ証明書」

　サーバ証明書のシステムから外れたものとして問題となっているのが通称「オレオレ証明書」だ。

　SSLの電子証明の作成プログラムそのものは公開されているものなので、自分でサーバ証明書（自らの署名で証明する）を作成することは可能だ。しかし、このようなサーバ証明書が信頼できるだろうか？　これが狭義の「オレオレ証明書」だ。

　自己署名のサーバ証明書でなくても、中間認証局の証明書がインストールされていない、サイト名と証明書内のサイト名が異なっている、証明書の有効期限が切れているなど、証明プロセスが完結しないサイトにアクセスするとIEは警告を出し、正しくないSSLであることを警告する。

　これらは正しい公開鍵かどうかの証明ができない広義の「オレオレ証明書」であり、この場合でも暗号化自体は行われ、SSL通信を行うことはできるが、この状態では外部からの傍受が困難というだけで安全な通信とはいいがたい。相手が正当かどうかが証明されていないからである。これらの「オレオレ証明書」を置くサイトでは「ブラウザが警告を出しますが安全です」と称している場合が多いが、もちろん正しい証明書とはいえない。

　最近は「ここはオレオレ証明書だ」と「告発」されると修正するサイトが多く、実例は見つけにくいが、たまに期限切れの証明書というサイトがある。期限の切れた証明書を利用している場合、それ自体もマイナスイメージだが、「期限が切れている＝ろくにメンテナンスをしていないサイト｣という印象を受ける場合もあるので、証明書の期限には気をつけよう。

　なお、社内だけで運用する場合は情報システム部門が作成した「社内だけ通用する」証明書を使うのも問題ないだろうが、対外的な通信では第三者の証明書を正しく使う必要がある。