GPKI
GPKI(Government Public Key Infrastructure)とは、政府が運営する公開鍵基盤(PKI)の事。政府認証基盤とも呼ばれる。
政府が提供するルート証明書によって構築されるPKIであり、電子政府の要となっている。
2015年現在のGPKIの問題点
GPKIの提供するルート証明書のうち、Japanese Goverment発行のApplicationCAのルート証明書については既にMozillaのNSS証明書ストアに取り込まれているが、ApplicationCA2のルート証明書に関しては2017年までNSS証明書ストアに取り込まれる見込みが無く*1 *2 *3、Firefox等のMozilla製ブラウザにおいて、またLinuxや各種BSDその他のOSにおいては他ブラウザでもデフォルトの状態では証明書エラーが発生する状態になっている*4。
これについて2015年6月現在、ApplicationCA2のルート証明書をブラウザに取り込むにはhttp://www.gpki.go.jp/apca2/index.htmlの「アプリケーション認証局2(Root)の自己署名証明書」から手動で取り込む必要がある状況になっている*5。
参考
*1:総務省行政管理局行政情報システム企画課の初動の遅れとMozillaの証明書に関するポリシーへの違反とそれにゴネた事から相当の遅れが生じてしまっている。(参考:870185 - Add Renewed Japanese Government Application CA Root certificate)
*2:2013年にはこの問題でFirefoxでハローワークに接続出来ない等の大規模な問題が発生した。(参考:GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に | 財経新聞 なお、問題は現在も解決しておらず、ハローワークはこの問題の解決のためGPKIの使用を中止し、現在はVeriSignの証明書を使っている。)
*3:政府広報では平成29年(2017年)1月からマイナンバー制度のポータルサイト「マイナポータル」が始まるとしているが、おそらくこれに間に合わない。参照:特集-マイナンバー | 政府広報オンライン
*4:これらの環境においてはWindows及びiOSで配布されるGPKIルート証明書が利用できないため
*5:ここで取り込んだルート証明書のフィンガープリントの確認を行う手段が提供されていなかったが、2015年6月19日にhttp://www.gpki.go.jp/apca2/index.htmlからhttps://bugzilla.mozilla.org/show_bug.cgi?id=870185#c1へのリンクが張られ、EV-SSLで保護されたページで確認を行えるようになった。(それまではこれを取得する時には他PKIから隔絶した、循環した形のオレオレ証明書によって保護されるページから取得するという問題のある状況(信頼の連鎖が切れた対象を取得する)になっていた(この状態でe-Tax(参照)、公安調査庁(参照)、パブリックコメント(参照)、最高検察庁(参照)、登記・供託オンラインシステム(参照)や多くのe-Govやその他政府官庁系のHPでApplicationCA2が使われていた事は記憶に値する。)。GPKIのApplicacionCA2ルート証明書についてはこれで一応の解決を見たが、地方自治体のPKIであるLGPKIについては依然として同様の問題を抱えており、やはり日本の電子行政は危機的状況にあると言える。)
yumetodo.hateblo.jp
www.gpki.go.jp
qiita.com
security.srad.jp
it.srad.jp
internet.watch.impress.co.jp
atmarkit.itmedia.co.jp
yumetodo.hateblo.jp
