信頼されていない日本政府の認証局（GPKI）を信頼する : やた管ブログ

昨年の11月に、宮内庁書陵部の『書陵部所蔵資料目録・画像公開システム』がリニューアルされた。URLが変更され、途方に暮れたのは前に書いた通り。なお、この件についてはまだ途方に暮れている。

『書陵部所蔵資料目録・画像公開システム』のURL変更:2017年11月05日

しかし、問題はそれだけではなかった。アクセスするとSSLのエラーが出てしまうのだ。

このエラーはOSによるらしく、出ないという人もいる。おそらく、WindowsやMacOSXでは出ないのだろう。僕の場合、UbuntuのChormiumとFirefox、ChromeOS（ChromeBook）で出るので致命的だ。UbuntuだけならマイナーなOSだからしょうがない気もするが、ChromeBookで出るのはいただけない。

さて、対処法である。個別に信頼できるとして許可を出すのも一つの方法だが、警告付きで使うのも、あまり気分のいいものではない。また、他にも同じ認証を使っているサイトもあるはずだから、もっと根本的に解決したい。

SSLのエラーということは、証明書が無効だということである。そこで、証明書ビューアーを見てみる。

こういう場合は証明書の期限切れが多いのだが、この場合は問題ない。証明書は「japanese government」、すなわち日本政府から出されているが、これが信用されていないということらしい。

「部門」のところに「GPKI」と書いてあるので、これをGoogleで検索してみると、政府認証基盤(GPKI)なるサイトが見つかった。

ここが認証局で、日本政府が運用しているにもかかわらず、信頼されていないということらしい。まあ、今時「当ホームページは、リンク・フリーです。」とか書いてあるのだから、信頼したくなくてもしょうがない。

とはいえ、これは正真正銘の日本政府の認証局なので、ここで証明書をもらって、ブラウザにインストールすれば、エラーはでなくなるはずだ。

証明書は政府認証基盤(GPKI)の「アプリケーション認証局2」のリンク先にある。

すると、次のような画面が現れる。赤で囲んだところが証明書のダウンロード元である。

書陵部所蔵資料目録・画像公開システムを閲覧する場合、RootとSub両方ダウンロードしなければならない。Rootの方は上の写真の「アプリケーション認証局２(Root)の自己署名証明書」をクリックすると、即座に「APCA2Root .der」というファイルがダウンロードできる。適当な所に保存しよう。

Subの方は「アプリケーション認証局２(Sub)の下位CA証明書が必要な方はこちら」をクリックすると、さらに次のページに遷移し、「アプリケーション認証局２(Sub)の下位CA証明書」というリンクからダウンロードできる。ファイル名は「APCA2Sub.der」。

あとは、これをブラウザにインストールすればよい。とりあえず、Chromeで例を示そう。

まず、Chromeの設定画面を出し、下の方にある詳細設定を押す。