増え続ける外国人観光客、外国人労働者そして2020年東京オリンピックなど、当然ながら外国人が地方行政のホームページを利用する機会が増えます。　増え続ける外国人観光客、増え続ける外国人労働者そして2020年東京オリンピック、当然ながら外国人が地方行政のホームページを利用する機会が増えます。

　外国語などの対応もそうですが、それ以前に自国民が使いづらいのであれば話になりませんよね！？

　以前にもTwitterで一部の地方行政のホームページの問題を指摘しましたが、その後のホームページを見ると、SSL/TLSサーバー認証局の問題だとという一部文が枠で囲われて表示されていました。そして、そのリンク先には問題への対象方法は記述されたいましたが、原因は書かれていません。(この理由は記事の前半で分ります)

　しかし、いずれにせよ、利用者からすると関係ない話です。そこで、各都道府県のユーザー個人情報を入力し行政へ送信するお問合わせやご意見などのフォームの一部を使い、SSL/TLSサーバーを独自調査しました (^o^)v

※ データ数が多かったので、リンク違いなどありましたら、お気軽にコメントしてください。批判等は無視しますw

事前知識として

なぜブラウザーで証明書エラーが表示されていると問題なのか！？

ある地方行政のページには、以下のような説明文が...

　“FirefoxやiPhoneのSafariなどにはLGPKIの自己署名証明書が標準ではインストールされていないため、手動でインストールする必要があります。”

　※ LPGKI (Local Government Public Key Infrastructure) = 地方公共団体組織認証基盤

公共のホームページなのに、手動で証明書をインストール？！

　利用者が特定の認証局を信頼できるかどうか判断するために、CPS (認証局運用規定または証明書発行方針) という文書を公開することがRFC2527で勧告されています。

　原則として標準でインストールされる証明書は 『米国の商用認証局』のルート証明書で、日本を含む米国以外の国の商用認証局、およびすべての国のプライベート認証局のルート証明書は、後から利用者の責任でインストールしなければなりません。

　逆に言えば、LPGKIのルート証明書は、日本国内のオレオレ証明でしかいないと言えます。

　これは行政批判とかではなく、どんなに安全だとしても、利用者からみるとそうとしか写らないという客観的事実なのです。

もし、ホームページの一部がクラッキングで書き換えられていたら？！

　手動で証明書をインストールしたとしましょう。

　その後は、そのSSL\TLSサーバー経由のページは完全または一部完全ということで、ブラウザーは安全性が有効だと表示します。

現状ある地方行政のページでは、ページの一部をインフレームなどでSSL/TLSを使っていないコードがあります。

クラッキング等でページの一部が書き換えられ、利用者の個人情報を外部へ流出しても、クラッキング先がTLS経由では場合によってはブラウザー上は安全とみなされることがあります。

　実際、現役時代に開発したWebシステムで動作状況を確認するために、顧客同意でページにその旨を明記した上で、そのような方法で稼働状況をチェックしたことはありました。ただ、今より古いブラウザーでSSLの頃でしたがw

LPGKIルート証明書を認証するように申請しても...

2018年2月ごろの話です。（全て英文ですので、翻訳不安(^^ゞ）

　日本のLGPKIはルート証明書を認証するよう申請していましたが、『問題となっている証明書を失効させる必要がある。』という回答。

　すると日本の担当者が、『指摘した証明書は、期限が切れて再発行されるので、問題は解決すると思います。』と回答。

　『誤って発行された証明書が期限切れになるのを待つだけでは受け入れられない応答であることを再度指摘したいと思います。』と返答が。

　慌てた担当者が『それは誤解です。 2017年以前に発行された証明書が期限切れになるのを待つのではなく、直ちに証明書を失効させる準備をしています。...(中略)...2017年以前に発行されたすべての証明書を失効させたら、要求が受け入れられるかどうかをお知らせください。』

　笑ってしまいました ≧(´▽`)≦

　そもそもの前提として、申請する条件は『もし』とか『したら』ではなく、現時点でどうかという話です。当然ですよねw

そして、現在に至るわけです。
なお、このやり取りは、すべて公開されていますw

　ということを事前知識として、こういったことを知っていて欲しいと思います。
LGPKI自体の安全性は問題ないと思います。しかし、利用者自身で認証するなど、SSL/TLS以外の怖さは残ります。

テスト環境

　SSL/TLS サーバーのチェックは　Qualys SSL Labs のオンラインチェックツールを使用しました。

https://www.ssllabs.com/ssltest/

Qualys SSLサーバーテストの評価ガイド

　ブラウザーの鍵の表示チェックはGoogle Chrome を使いました。行政の多くは未だにIEをメインブラウザーとして使う傾向がありますが、世界は FirefoxかCrhomeだからです。
　・2018年12月現在
　　国内1位：Chrome 70.0 20.8%　(Chrome系 60%以上)
　　世界1位：Chrome 70.0 27.3%　(Chrome系 60%以上)

テストブラウザー：Google Chrome　バージョン: 70.0.3538.77

　テスト環境は以下のとおりです。
OS Ubuntu 18.04.1 LTS　Kernel Linux 4.15.0-33-generic(x86_64)

テスト対象としてページは、お問い合わせページまたはご意見ページとしました。（ユーザー情報が入力される可能性があるページ）

チェック日：2019/01/31〜2019/02/02

テスト結果の記号の意味

ブラウザー表示の記号

　 OK
　 一部OK
　 NG

　SSL/TLS SSL/TLS 未使用

Qualys SSL Labs での評価 Rank

　 A+
　 A
　 B
　 C
　 F
　 T (一部解析不能)

　 メールの問い合わせしか出来ない

 都道府県別 結果地図

※ Rank Tのものは解析不能を除外したRankを使用

都道府県別一覧

　わかづらいですが、証明書や評価のスクリーンショットの切り抜き画像は、その文章の左側の画像をクリックして表示してください。

北海道

 
対象URL http://www.pref.hokkaido.lg.jp/toiawase/index.htm
SSL/TLS証明書発行元 [LPGKI]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

青森県

 

対象URL https://www.pref.aomori.lg.jp/kenminno-koe/
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

岩手県

 
対象URL https://www.pref.iwate.jp/cgi-bin/contact.cgi?mail=C02050201
SSL/TLS証明書発行元 [GlobalSign nv-sa]
 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

宮城県

 
対象URL https://www.pref.miyagi.jp/form/detail.php?sec_sec1=8&check
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

秋田県

 
対象URL https://www.pref.akita.lg.jp/pages/archive/28956
SSL/TLS証明書発行元 [GlobalSign nv-sa]
 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

山形県

 
対象URL https://www.pref.yamagata.jp/cgi-bin/mail_voice.cgi
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

福島県

 
対象URL https://www.pref.fukushima.lg.jp/form/detail.php?sec_sec1=5&check
SSL/TLS証明書発行元 [SECOM Trust Systems CO.,LTD]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

茨城県

 
対象URL https://www.pref.ibaraki.jp/cgi-bin/simple_faq/form.cgi
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

栃木県

SSL/TLS 

対象URL http://www.pref.tochigi.lg.jp/c05/question/kensei/iken/qa0208001.html

群馬県

 
対象URL https://www.pref.gunma.jp/s/teian/iken.htm
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

埼玉県

 
対象URL https://www.pref.saitama.lg.jp/saitec/otoiawasehoho/form.html
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

千葉県

 
対象URL https://www.pref.chiba.lg.jp/form/b_kouhou_center_teian-j/form.html
SSL/TLS証明書発行元 [SECOM Trust Systems CO.,LTD.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

東京都

 
対象URL https://cgi.metro.tokyo.jp/cgibin/cgi-bin/fmail_input_disp.cgi?dep_id=ts02&scr_id=f001&lang_opt=00
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

神奈川県

(外部サイト)  
対象元URL http://www.pref.kanagawa.jp/docs/h3e/cnt/f3492/
対象URL https://shinsei.e-kanagawa.lg.jp/kanagawa/uketsuke/dform.do?acs=SF0217
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

新潟県

(外部サイト)  
対象URL https://www.task-asp.net/cu/lar150002/pc/Lar00000/Lar00002.aspx
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

富山県

SSL/TLS
対象URL http://www.pref.toyama.jp/form.html

しかも『このフォームによる通信は、SSL（暗号化通信）により保護されます。ただし、InternetExplorer 以外のブラウザをご利用の場合、大変お手数をおかけしますが、なりすましや改ざん等のリスクを避けるための「自己署名証明書」をインストールしていただく必要があります。』と明記されていました。

石川県

 (解析不能な機能を除くと)
対象URL https://www.pref.ishikawa.lg.jp/cgi-bin/faq/form.cgi
SSL/TLS証明書発行元 [LGPKI]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

福井県

 
対象URL https://www.pref.fukui.lg.jp/enquete/tyousatai.html
SSL/TLS証明書発行元 [SECOM Trust Systems CO.,LTD.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

山梨県

 
対象URL https://www.pref.yamanashi.jp/cgi-bin/faq/form.cgi
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

長野県

 
対象URL https://www.pref.nagano.lg.jp/cgi-bin/simple_faq/form.cgi
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

岐阜県

 
対象URL https://www.pref.gifu.lg.jp/kensei/koho-kocho/iken-teian/c11127/
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

静岡県

(外部サイト)  
対象元URL http://www.pref.shizuoka.jp/kikaku/ki-120/kenminokoe.html
対象URL https://s-kantan.jp/pref-shizuoka-u/offer/userLoginDispNon.action?tempSeq=18&accessFrom=
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

愛知県

(外部サイト)  
対象元URL https://www.pref.aichi.jp/soshiki/koho/0000043404.html
対象URL https://www.shinsei.e-aichi.jp/pref-aichi-u/offer/userLoginDispNon.action?tempSeq=1292&accessFrom=
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

三重県

 
対象URL https://www1.pref.mie.lg.jp/s_form/o_teian.htm
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

滋賀県

(外部サイト)  
対象元URL http://www.pref.shiga.lg.jp/chijishitsu/tegami.html
対象URL https://s-kantan.jp/pref-shiga-u/profile/userLogin_initDisplay.action?nextURL=CqTLFdO4voYlCt4TF0KUrTQ9f2VYJzSn7Hr%2FNHcoupaiZSo%2BTyl%2FmsPDYU%2FZXxegT6bhmjhu3CBi%0D%0AaldQ6He41B%2FhzZGGC%2F5cqyE5msSUyzg%3DDNdhcM4de8c%3D%0D%0A
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

京都府

(外部サイト)  
対象元URL http://www.pref.kyoto.jp/shinsougoukeikaku/ikenbosyu/ikenbosyu01.html
対象URL https://www.shinsei.elg-front.jp/kyoto/uketsuke/form.do?id=1539151279397
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

大阪府

(外部サイト)  
対象元URL http://www.pref.osaka.lg.jp/fumin/fusei_iken/index.html
対象URL https://www.shinsei.pref.osaka.lg.jp/ers/input?tetudukiId=2012100014
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

兵庫県

 
対象URL https://web.pref.hyogo.lg.jp/sawayaka/goiken.html
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

奈良県

 
対象URL https://www.secure.pref.nara.jp/dd.aspx?menuid=1572
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示
 Qualys SSL Labs での評価をクリックで表示

和歌山県

 
対象URL https://wave.pref.wakayama.lg.jp/wakayamakenchouwebmasterform/wakayamakenchouwebmasterform.html
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

鳥取県

 
対象URL https://www.pref.tottori.lg.jp/257635.htm
SSL/TLS証明書発行元 [SECOM Trust Systems CO.,LTD.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

島根県

 
対象元URL https://www.pref.shimane.lg.jp/admin/seisaku/koho/hotline/
対象URL https://www1.pref.shimane.lg.jp/admin/seisaku/koho/hotline/web.html
SSL/TLS証明書発行元 [DigiCert Inc]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

岡山県

 
対象URL https://sslweb.pref.okayama.jp/form/detail.php?sec_sec1=46&check
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

広島県

 
対象URL https://www.pref.hiroshima.lg.jp/ques/questionnaire.php?openid=2&check
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

山口県

(外部サイト)  
対象元URL http://www.pref.yamaguchi.lg.jp/cms/a11000/sodan/
対象URL https://www.shinsei.elg-front.jp/yamaguchi/uketsuke/dform.do?id=1496732651670
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

徳島県

 
対象URL https://www.pref.tokushima.lg.jp/otoiawase/otoiawaseform
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

香川県

対象URL https://www.pref.kagawa.lg.jp/kgwpub/pub/contact/index.php
SSL/TLS証明書発行元 [SECOM Trust Systems CO.,LTD.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

愛媛県

 
対象URL https://www.pref.ehime.jp/gen/iken_yobo2.html
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

高知県

対象URL https://www.pref.kochi.lg.jp/form/111301/kocho-goiken-form.html
SSL/TLS証明書発行元 [LGPKI]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

福岡県

(外部サイト)  
対象元URL http://www.pref.fukuoka.lg.jp/soshiki/202554/
対象URL http://www.shinsei.elg-front.jp/fukuoka/navi/procInfo.do?govCode=40000&acs=kvoice
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

佐賀県

 
対象URL https://www.pref.saga.lg.jp/dynamic/entry/pub/ansform.aspx?c_id=63&entry_ins=6
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

長崎県

対象URL https://eap.pref.nagasaki.lg.jp/kv2/index_pc.php5?FORMNO=42000G00001079eeM&SETUID=SSL
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

熊本県

 
対象URL https://www.pref.kumamoto.jp/entry/pub/AnsForm.aspx?c_id=35&entry_ins=3&redi=ON
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

大分県

対象URL https://www.pref.oita.jp/ques/questionnaire.php?openid=1000007&check
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

宮崎県

対象URL https://www.pref.miyagi.jp/form/detail.php?sec_sec1=8&check
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

鹿児島県

対象URL https://www.pref.kagoshima.jp/cgi-bin/faq/form.cgi
SSL/TLS証明書発行元 [Cybertrust Japan Co., Ltd.]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

沖縄県

 
対象URL https://www.pref.okinawa.lg.jp/cgi-bin/simple_faq/form.cgi
SSL/TLS証明書発行元 [GlobalSign nv-sa]

 ブラウザー証明書をクリックで表示

 Qualys SSL Labs での評価をクリックで表示

※ SSL/TLS 非対応フォームあり

 

まとめ

　皆さんの自治体のホームページはどうでしたでしょうか？
SSL/TLS対応については、 兵庫県・奈良県・秋田県・徳島がベストだと思いました。

全体的に、RANKなどが偏っている点などから、担当した業者が同じなのだろうと思います (^^ゞ

デザインの話をすると...

(1) この作業をしていて、問い合わせや意見を投稿するページにたどり難い自治体が多いと感じました。
意図的にそうしていると感じるほどで、探していてイライラいしました (ToT)

(2) ユーザビリティが低いと全体的に感じます。
行政担当者は解かりやすいかも知れませんが、利用者にとっては面倒くさいと感じます。
TOPページに多くを詰め込みすぎています。

(3) 現在、世界的に標準となっているデザインから程遠く、5〜6年前のデザインです。

　そろそろ次年度の予算が確定すると思います。
Webサイト製作会社とよく相談して、頑張って修正してもらいたいと思います (^o^)v