前回は,電子証明書を使ってアクセスの可否を判断するシステムで,アクセスができないという顧客からの問い合わせに対し,どの様な原因が考えられるかについて,過去に多かった事例を4件挙げた。今回は,まずこれらについて説明したい。
(1)顧客のブラウザに電子証明書が正常にインストールされていない
顧客自身にブラウザに電子証明書をインストールしてもらう運用となっている場合に,このケースによく遭遇した。顧客側では,普段のブラウザの利用では使わないようなメニューと,見慣れない(しばしば日本語として意味不明な直訳の)メッセージに困惑しながら操作することになるため,操作ミスなどが原因で正常にインストールされていない場合が多かったのである。
特に,電子証明書を発行する際に,顧客のPCのスペックやネットワークの状況,認証局側の負荷の状況によっては,ブラウザ側での鍵生成から,認証局での発行,ブラウザへのダウンロードという一連の処理に時間がかかる場合がしばしばあった。
このような状況では,ブラウザ側では動きが止まったように見えることがある。そのため,多くの顧客がブラウザの「停止」ボタンを押したいという衝動に駆られたようである。
一連の処理のどの時点で実際に「停止」ボタンを押してしまうかによるが,認証局での証明書発行は完了しているものの,ブラウザへのインストールが失敗してしまった場合には,顧客がもう一度最初から操作をやり直したとしても,同じ証明書の発行を認証局に対して重複して行うことになるため,エラーとなってしまう(VeriSign MPKIなどでは,同一日であれば再度の取得が可能な場合もある)。また,かつては一部のブラウザ製品や,その特定のバージョンにおいて電子証明書関連の処理が正常に行われないケースもあり,これが原因で顧客が電子証明書のインストールに失敗するケースも見られた。
上記のケースでは,認証局側で発行済みとなっているその顧客の公開鍵証明書を,証明書レポジトリから再度取得してブラウザにインストールしてもらう,あるいは発行済みの証明書をいったん失効させ,再度新規に証明書を取得してもらうなどの対応を行う。なお,証明書レポジトリとは,ウエブなどを通じて,公開鍵電子証明書の配布を行う仕組みである。
一方,ブラウザでは,インストールされた電子証明書をエクスポートして,別のブラウザにインポートすることが可能であるが,秘密鍵を含めてエクスポートしないと,インポートした側のブラウザでは他人の公開鍵証明書として認識されてしまう。証明書のインストールまたはエクスポートする際の設定によっては,秘密鍵がエクスポートされない場合があり,この場合はWebサーバーからのクライアント証明書の要求時にブラウザ側で表示される選択可能な電子証明書の一覧には,該当の電子証明書は表示されないので使用することができない。仮に使用したとしても,秘密鍵を含んでいないため,クライアント認証は成立しない。
これらの、ブラウザに電子証明書が正常にインストールされていないことに起因するトラブルが比較的多いのは,ブラウザにインストールされた電子証明書を確認する方法が,一般のユーザーにとって分かりにくいことも一因だと思われる。例えばInternet Explorerでは,[ツール]→[インターネットオプション]で表示されたパネルで、[コンテンツ]タブを選択すると、証明書を表示するためのボタンにたどり着く。しかし,[コンテンツ]タブの左隣には、[セキュリティ],[プライバシー]といった,いかにも電子証明書を連想しそうなタブが並んでいるのである。これに惑わされるユーザーも多いのではないだろうか。
ただし,電子証明書を使ったシステムの運用が継続されることで,電子証明書について詳しくない顧客を考慮した操作画面のインタフェースの改善や,顧客向けのマニュアル,サポート窓口の充実など,問題発生時の対応が手厚くなったことで,大きな問題につながる事態は減ってきている。
また,いまだにリリース直後のブラウザやOS製品では問題が発生するケースもあるが,以前に比べればブラウザ製品における電子証明書関連の処理に関する不具合も少なくなっている。それも,この問題でのクレームが減ってきた一因と思われる。
(2)顧客の電子証明書の有効期限が切れていた
電子証明書には有効期限がある。電子認証局の最も上の階層である,ルート認証局の証明書などは10年以上の有効期間を持つものもあるが,クライアント証明書の場合,1~3年の有効期間を持つものが多い。
ただ,普段の利用では有効期間を意識することが少ないので,知らないうちに電子証明書の有効期限が切れてしまい,いざ使おうと思った時に初めて電子証書が使えないことに気づくというものである。
(3)電子証明書がインストールされていないブラウザでアクセスした
このケースも,以前はよく見られた。以前のブラウザの製品,バージョンによっては電子証明書の処理に不具合が起こることがあり,サービスの提供者側で利用可能なブラウザを限定していたため,エンドユーザーが複数のブラウザを使い分けざるを得ない状況がまま見られたことによるものと思われる。このケースでは,適切なブラウザを使用しているかを顧客に確認してもらうことで,比較的簡単に解決する場合が多い。
(4)適切な電子証明書が選択されなかった
複数の電子証明書がインストールされているブラウザに対して,Webサーバーからの電子証明書提示要求が行われた際に,ブラウザ側でも適切な電子証明書の候補リストを提示する様な機能を持ってはいる(画面1)。
しかし,実はここでユーザーが選択した電子証明書が,ブラウザ側からWebサーバーに提示されない場合もある。ブラウザとWebサーバーの間では,SSL接続のキャッシュ機能があるが,これが原因となって電子証明書の切り替えがうまくいかない場合があるのだ。特に,電子証明書を選択する直前に,そのブラウザで別の電子証明書を使っていた場合や,同一のブラウザで複数のウィンドウを使っていた場合に,このような問題が発生しやすい。
このような問い合わせのケースでは,顧客に対して使用していたブラウザのすべてのウィンドウをいったん閉じて,再度ブラウザを開いてからアクセスしてもらうようお願いしている。
今回の事例では,調査してみたところ,顧客の証明書はその時点で有効であり,それ以前は正常にアクセスができていたとのことだ。つまり,有効な電子証明書が正常にインストールされていたという状況である。
また,顧客に対しては,既に一度ブラウザを閉じてもらう対応の案内は行っていた。それでも状況が改善しないという状況であった。つまり,上記に挙げた四つの原因のいずれにも該当しなかったのである。
ネットワンシステムズ 営業推進グループ ソリューション本部 エンジニアリングサービス部 副部長
