<前の日記(2007年04月08日) 次の日記(2007年04月19日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 90   昨日: 3063

2007年04月15日

IE 7の普及でサーバ証明書失効によるトラブルが表面化する

Internet Explorer 6まででは、「サーバー証明書の取り消しを確認する」の設定(「インターネットオプション」の「詳細設定」タブのところにある)が、デフォルトでオフになっていたが、IE 7で、これがデフォルトでオンになった。

  • Internet Explorer 7 における HTTPS セキュリティの強化点, Microsoft

    Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。

この影響が出始めているようだ。

  • QNo.2856522 証明書エラーがでてしまいます・・, 2007年3月22日

    ビスタに変えてから、XPの時に普通に入れていたサイトにログイン出来なくなりました。(略)

    このサイトの管理会社に問い合わせても、異常がないのでそちらのPCの問題だと思うと言われてしまいました。(略)

    下記のURLが問題のサイトなんですが、会員ログイン、会員登録、お問い合わせ、いずれも「この Web サイトのセキュリティ証明書には問題があります。この組織の証明書は失効しています。」等と表示されてしまいます・・
    http://www.gootencash.jp/top.html

当該サイトの当該ページにIE 7でアクセスしてみると、たしかに図1のようになる*1

サーバ証明書が失効しているときのIE 7の画面
図1: サーバ証明書が失効しているときのIE 7での表示の例

オレオレ証明書の場合の画面と異なり、「このサイトの閲覧を続行する」のリンクが用意されていない。

今後、サイト運営者が「失効確認の設定をオフにしてください」などと言い出すことが懸念される。

サーバ証明書が失効とされるのはどういう場合になのだろうか。また、どのくらい起きているのだろうか。

検索してみたところ、過去の事例が見つかった。

このときは、IE 6なので、この方は自力で「サーバー証明書の取り消しを確認する」の設定をオンにしていたのだろう。そういうユーザは少ないだろうから、従来はトラブルが表面化しにくかったと思われる。

ちなみに、IE 6で「サーバー証明書の取り消しを確認する」の設定をオンにしている場合に出る警告はこうだ(図2)。

サーバ証明書が失効しているときのIE 6での警告
図2: サーバ証明書が失効しているときのIE 6での警告

とても冷淡な警告だ。

オレオレ証明書の場合の警告では続行ができるのに、失効証明書の場合は続行を許さないというのには首をかしげる。詐欺師がこうなるとわかっていてわざわざ失効証明書を使うわけがないし、失効証明書の秘密鍵を入手するよりオレオレ証明書を自作するほうがはるかに容易なのに。

ちなみに、オレオレ証明書が使われているときにIE 7が出す警告については、セキュリティベンダーであるトレンドマイクロが解説してくれている。

  • 製品Q&A Internet Explorer 7の使用時におけるhttpsを用いたWebコンソールへのアクセスについて, トレンドマイクロ, 2007年1月22日
    トレンドマイクロの解説ページの画面

    製品のWebコンソールにアクセスすると「このWEBサイトのセキュリティ証明書には問題があります。」と証明書エラーのページが表示されます。

    「このサイトの閲覧を続行する(推奨されません)」をクリックすると、下図のようにWebコンソールのログイン画面が表示されます。

    Internet Explorer のアドレスバーの隣に「証明書のエラー」が表示されますが、以下の製品Q&Aにおいて対応している製品については問題なくご使用いただけます。

「問題なく」ねえ。やれやれ。

*1 インターネットオプションの詳細設定では「取り消し」という用語なのに、エラー画面では「失効」と、用語が食い違っている。IE 6では「取り消し」で統一されていた。詳細設定の方の用語を「失効」に変えるべきだろう。

本日のTrackBacks(全67件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20070415]

昨日のIE8.0 詳細設定(2)の続きです。わかるところや調査ができたところから、個人のメモ用として投稿します。(内容については保証はできません)3.セキュリティ(8)サーバー証明書の失効を確認する初期値、無効。初期値が有効でないのは、以下のようなこと..

検索

<前の日記(2007年04月08日) 次の日記(2007年04月19日)> 最新 編集

最近のタイトル

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|
<前の日記(2007年04月08日) 次の日記(2007年04月19日)> 最新 編集