更新英国税務当局が育児税額控除ポータルで重要な HTTPS 証明書の有効期限を切れさせたことに対し、激怒した親たちが英国歳入関税庁に激しく非難した。
9月22日日曜日の00:59:59にchildcare.tax.service.gov.ukのHTTPS証明書の有効期限が切れると、すぐに多数の方からご連絡をいただきました。
Regの読者であるCian氏は、そのアドレスのウェブアプリは「税引き前の一定額の保育料を支払うことを可能にする」とし、「保育料が高額な場合は、1か月あたり数百ポンドの価値がある可能性がある」と付け加えた。
HTTPS 証明書は、ブラウザとアクセスしている Web サイトの間に暗号化された接続を確立するために使用され、不正な目的で財務詳細や転送中のその他のデータを盗聴または改ざんしようとする犯罪者から情報を保護します。
有効な TLS 証明書なしで HTTPS 経由で提供されるすべての Web ページには、Chrome バージョン 68 以降のアドレス バーに「安全ではありません」という警告が表示されます。また、Mozilla の Firefox、Microsoft の Edge、Apple の Safari でも同様に、サーバーへの安全な接続を確立できない可能性があることを警告します。
今朝、Chromiumベースのブラウザでhttps://childcare.tax.service.gov.uk/にアクセスした訪問者に表示する画面
HMRCは少なくともHSTSを強制することでセキュリティ対策を講じており、安全なHTTPS接続以外でサイトにアクセスできないようにしています。これは、オンライン上の悪意ある行為者による接続ダウングレード攻撃を防ぐことを目的としています。残念ながら、これはつまり、ほとんどの最新ブラウザに組み込まれている「よろしいですか?」という確認メッセージを無視してサイトを起動し、自らリスクを負うことができないことを意味します。
驚くべきことに、本稿執筆時点では、HMRCは新しい証明書をインストールするための十分な体制を整えておらず、企業の広報担当者は障害を認識していなかったことを認めつつも、後日詳細な説明を行うと約束していました。しかし、昼食後はすべて予定通りに機能しているように見えました。
HMRC が動き出したら、この記事を更新します。®
2019年9月23日 15:00 UTC を追加して更新しました
HMRCの広報担当者は、「お客様が一時的に保育サービスにアクセスできなかったことをお詫び申し上げます。この技術的な問題は現在解決しており、サービスは正常に動作しています。お客様のデータが漏洩していないことをお約束いたします」と連絡を取った。
