オレオレ証明書はなくならない

タカギ先生が吠えようが、IPAががんばろうが無駄。

ある金融機関の情報表示画面(チャート)はJavaアプレットで、署名がしてあります。

アプレットの起動時に、証明書が無効というダイアログが2回出ます。

20090821104946  先発

20090821110436 次発

先発:

20090821105213

このデジタル署名は、信頼できない証明書を使って生成されました。

20090821105158

証明書に使われている会社名をぐぐると出てきた会社

製品紹介  EMCOM FX  EMCOM FXの特長  株式会社EMCOM CONSULTING

EMCOM FXは最新のリスク管理を備えているので高いレバレッジにも対応することができます。

リスクは管理するがセキュリティはどうでもいいのでしょうかね。

さらにFlashやAjaxを利用することによりレイアウトのカスタマイズの変更といった、お客様ひとりひとりに合った最高の取引環境を提供することが可能です。ぜひご検討ください。

なんでこのチャートだけJavaアプレットなのかしりませんが、署名に名前だけ使われちゃったんですかね。

次発:

20090821105223

このデジタル署名は期限が切れています。

20090821105123

VeriSignをつかっているようですが、期限が春に切れてます。サービス開始前に切れているわけなんですががが。

いまどきオレオレ証明書でも問題なしと強弁する人はさすがに居ないと思うのですががが。

参考リンク:

高木浩光@自宅の日記 – こんな銀行は嫌だ, オレオレ証明書の区分 第三版

ちなみにてもとのルート証明書は、WindowsUpdateの最新状態です。

個人的には、タカギ先生にはFX業者や貴金属取引などにも手を広げていただきたいところです。ある意味宝の山ですから。

一方で、VeriSignのような業者に法外な金を払わないと署名できないから、動作確認作業の前に契約しないと何もできないという逆の誤解も広がっている気がします。

りんくる:

テストのため、オレオレ証明書でjarに署名する方法 – 今日覚えたこと