WindowsUpdateによる電子政府システム向けルート証明書の配信について
Windows Updateで電子政府システム向けルート証明書の配信を開始(ITmedia記事)
マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布(ITpro記事)
Windows(R) Updateによる電子政府システム向けルート証明書の配信を開始(Microsoftプレスリリース)
ルートCA証明書の配布をMicrosoftに任せると言うこと自体は、安心できる配布ルートを作成すると言う意味で望ましい方向性だ。これにより次期バージョンであるWindowsVistaには最初から日本政府のルートCA証明書がプリインストールされることにもなるのだろう。これはいい。
しかし、現状のシステムには問題がある。
WindowsUpdateの機能を用いて検証に必要な証明書を自動的にダウンロードする[1. Windows XPとWindows Server 2003のみ。Windows2000はWindowsUpdateで明示的に更新する必要性がある]のは確かに便利だが、この自動ダウンロードはHTTPで通信しているのである。
これでは非SSLのサーバからルートCA証明書をダウンロードしているのとまるで変わりがない。何の解決にもなっていないし、PKIの仕組みを理解していないことを公言しているようなものではないか。
パケットをキャプチャする限りではWindowsUpdateサーバには一度GETリクエストを送り、レスポンスとしてルートCA証明書が送られるだけだ。WindowsUpdateには署名検証の機能があったと記憶しているが、それに必要な署名が付加されている様には見えない。
これでは高木浩光氏が定義するところの「第二種オレオレ証明書」をより簡単に利用させることにしかならない。
(2006/10/02追記)
トラックバックを受けて誤りを削除した。詳細はに記した。