2007年12月12日
■ 第六種オレオレ証明書が今後増加するおそれ
リンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。
- 無知な鯖管, 別館「S3日記」, 2007年12月9日
- 民主党のSSL証明書が不正な件, 思考と習作, 2007年12月10日
これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。
この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。
IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フィールドにあるURLから、検証に必要な中間認証局の証明書を、別途自動でダウンロードして取得する機能があるためだ。図1は、民主党のサイトで提示されるサーバ証明書の、Authority Information Access拡張フィールドの値を表示させた様子である。
http://SVR1024Secure-aia.verisign.com/SVR1024Secure2007-aia.cer が中間認証局の証明書の置かれているURLである。この証明書はルート認証局から署名されているので(はずなので)、(検証すれば)安全にダウンロードすることができる。IEは、これをダウンロードすると、「中間証明機関」という証明書ストア(図2)に格納し、その後もそれを(cacheとして)使用するようになっている。
通常、中間認証局から発行されたサーバ証明書をサーバにインストールする場合、認証局から送られてくる中間認証局証明書も合わせてインストールするのが常識なのだが、IEではそれをサボっても警告が出ない場合があるのは、この機能が働くためだ。この場合、SSLの接続は正常に確立する。
何年か前に、microsoft.com 上に存在する SSL対応のWebサーバで、オレオレ警告が出ることが度々話題になったのは、これが原因で、「IEでは警告が出ないが Firefoxでは警告が出る」という騒ぎだった。
- Why doesn't Mozilla (Firefox) like the Microsoft OCA web site?, Larry Osterman's WebLog, 2004年6月4日
- Microsoft がオレオレ証明書を使っている, 鷹の島, 2006年9月3日
ところが(15日訂正)その後、最近になってのことだろうか、 Firefoxでもこの機能がサポートされたようだ。上記の東京証券取引所と民主党のサイトを Firefox2.0.0.11 でアクセスしても、オレオレ警告は出ずに正常にSSL接続が確立する。
Firefoxがどのバージョンからこの機能をサポートしたかは確認していない。
しかし、Safariや Operaなどの他のブラウザはこの機能をサポートしていないので、オレオレ警告が出る。これは、それらのブラウザでは SSLの接続が正常に確立しないことを意味する。つまり、通信路上の盗聴者が偽のサーバ証明書を提示している状況と区別できないので、安全な通信ができない。
Safariや Operaでのアクセスをお断りしているといった特別な事情があるサイトを除いて、このようなサイト運用は誤りであろう。
IEだけでなく Firefoxでも正常に接続できるようになったことから、今後この設定ミスに気づかないサイトが増えるおそれがある。
■ 訂正(15日)
上で「Firefoxでもこの機能がサポートされたようだ」と書いたのは早とちりだった。はてなブックマークコメントに「Forefoxでも警告は出た」というたくさんの指摘を頂いたため、手元のFirefoxを再起動して試したところ警告が出るようになった。考えられる原因を想定してひとつひとつ確認していったところ原因が判明した。確認した現象は以下の通り。
- (11月17日の日記で触れている)「専修大学 在学生・教員向けポータルサイト」にアクセスした後では、東京証券取引所にアクセスしたときに警告が出なくなる。
- 西日本シティ銀行にアクセスした後では、民主党のご意見送信フォームで送信を押したときに警告が出なくなる。
12日の日記を書く直前にこれら2つのサイトを訪れていた。東京証券取引所(異常な設定)は専修大学(正常な設定)と同じ中間認証局「VeriSign Class 3 Secure Server CA」から発行されたサーバ証明書を使っており、民主党(異常な設定)は西日本シティ銀行(正常な設定)と同じ中間認証局「VeriSign Class 3 Secure Server 1024-bit CA」から発行されたサーバ証明書を使っている。
どうやら、Firefoxは、正常な設定のサイトを訪れたときに当該サイトから取得した中間認証局証明書を(再起動までの間)メモリ上に残すようになっており、異常な設定のサイトを訪れたときに、そのメモリ上の中間認証局証明書を使って認証パスを検証してしまうようだ。(Firefox 3 beta 1でも同じ現象が起きた。)
これは、トラックバックでご指摘頂いたように、MozillaのBugID:399045として報告されているバグのようだ。
なお、これは脆弱性に分類されるバグではない。警告が出ないのは、証明書の認証パスの検証をサボったからではなく、(たまたま)検証できたからなのであり、したがって、SSL暗号化通信は正常に機能している。
つまり、東京証券取引所や民主党のサイトをFirefoxで安全に利用したい人は、それぞれ利用前に専修大学か西日本シティ銀行のサイトを訪れてからにすれば、SSL暗号化された通信で利用できる。
もちろん、東京証券取引所や民主党のサイトがそのような利用手順を利用者に強要するのは誤りであり、サーバの設定を直すべきである。現時点でも直っていないようだが、直さないのなら、少なくとも「Internet ExplorerでしかSSL暗号化通信をご利用できません」という断り書きが必要だろう。
*1 ちなみに、民主党のご意見送信フォームは別の点でもセキュリティ上の不備がある。送信先は https:// になっているものの、フォームのHTMLは http:// で配布されている。「このフォームは、SSL(Secure Sockets Layer) 技術で暗号化しています」と書かれているが、文章で書いても無意味だ。通信路上でそのHTMLが改竄されれば、入力データは暗号化せずに送信されてしまう(関連:SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも、安全なWebサイト利用の鉄則 - よくある質問と答え)。もっとも、それを理解しているユーザは、フォームのページでアドレスバーを編集して自力で https:// でアクセスしなおせば安全に使えるのではあるが。
12月9日に書いたこのエントリだが、東京証券取引所に対して問...
現象をお知らせしてから10営業日もかかっていますが、今日にな...
中間証明書の運用に疎いんだが、高木浩光氏のブログ記事「第六種オレオレ証明書が今後増加するおそれ」ってのが気になってる。 Amazonのこういうのや、松井証券のこういうのも第6種オレオレ証明書ってやつなのかしらん。 普段問題ないのに、稀に認証に失敗するようだ。..
SSL警告がIE以外のブラウザだと出るらしいですね……。ここ。前々から小耳に挟んでいたものの、いつも使っているSleipnirではIEコンポーネントブラウザなので、全く気にもせず。(そもそもeOpenは使う機会ないですし。Portable Firefox(...
- はてなブックマークコメント ×89 : 37, 29, 8, 4, 3, 2, 2, 1, 1, 1, 1 (2019-10-14)
- https://blog.cles.jp/ ×62 (2016-09-26)
- https://www.google.com ×5 (2016-05-02)
- https://www.bing.com/ ×6 (2016-02-18)
- http://qiita.com/nofrmm/items/5e50f077eb1602a3458e ×71 (2015-10-08)
- https://www.google.co.jp ×87 (2015-08-20)
- Twitter [1] ×8 (2015-06-27)
- ココログ [freethink way] ×69 : 57, 6, 4, 1, 1 (2014-12-04)
- スラッシュドットcomments [413296] ×87 : 23, 15, 8, 5, 4, 4, 4, 3, 3, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2014-11-26)
- スラッシュドットarticle [08/08/06/0237247] ×24 : 16, 4, 4 (2011-10-23)
- http://chiedas.oa.ntts.co.jp/servlet/jp.co.realcom.km3.devel... ×8 (2011-08-24)
- http://blog.cles.jp/tag/ssl/page/2 ×5 (2011-04-26)
- http://blog.cles.jp/tag/ssl ×4 (2010-07-26)
- はてなダイアリー [johzan 20071213] ×5 : 4, 1 (2010-05-05)
- http://nmuta.fri.macserver.jp/tips3g.html ×5 (2010-03-03)
- http://nmuta.fri.macserver.jp/unei1002a.html ×32 (2010-02-17)
- http://nmuta.fri.macserver.jp/unei1002a.html?utm_source=feed... ×6 (2010-02-17)
- Twitter [itoga] ×2 : 1, 1 (2009-09-30)
- はてなダイアリー [memecomputing] ×17 : 4, 3, 3, 2, 1, 1, 1, 1, 1 (2009-08-24)
- Yahoo!ブックマーク [clicklog] ×4 : 2, 2 (2009-08-11)
- @IT BBS [topic:42563,forum:4] ×54 : 25, 24, 5 (2009-06-29)
- http://tumblr.clicklog.org/post/112110780/15 ×4 (2009-06-15)
- http://blog.cles.jp/item/2930 ×902 (2009-03-02)
- Apple Support Discussions [@.f03f078] ×17 : 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2009-01-19)
- はてなブックマークコメント [6783157/高木浩光@自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ] ×10 (2008-12-08)
- http://forum.mozilla.gr.jp/cbbs.cgi?mode=al2&namber=40512&re... ×70 (2008-10-21)
- fc2 blog [wossannonikki.blog44] ×49 : 47, 2 (2008-09-02)
- はてなブックマークコメント [6553960] ×8 (2008-08-19)
- http://takabsd.jp/d/?date=20090905 ×9 (2008-05-10)
- http://www.kumachan.biz/pismo/blog/archives/2007/12/ ×7 (2008-04-24)
- 2ちゃんねる掲示板 [soccer 1204810437] ×5 : 4, 1 (2008-03-12)
- http://forum.mozilla.gr.jp/?mode=al2&namber=40512&rev=&&KLOG... ×13 (2008-02-12)
- Apple Support Discussions [@.f03f078/10] ×4 : 1, 1, 1, 1 (2008-01-30)
- はてなダイアリー [memecomputing 20080117] ×118 (2008-01-17)
- http://materia.jp/blog/20071214.html ×5 (2008-01-14)
- はてなダイアリー [pochi-p 20071217] ×21 (2008-01-07)
- セキュリティホールmemo ×1909 : 1674, 212, 20, 1, 1, 1 (2008-01-02)
- ime.nu /20071212.html ×16 (2007-12-27)
- はてなブックマークコメント [6783157] ×24 (2007-12-25)
- mimori.org/~h tdiary ×16 : 6, 5, 4, 1 (2007-12-22)
- http://forum.mozilla.gr.jp/?mode=one&namber=40518&type=40512... ×10 (2007-12-16)
- http://www2.tokai.or.jp/migaden/chirashi.htm ×15 (2007-12-16)
- mixi diary [1785948] ×5 (2007-12-15)
- http://forum.mozilla.gr.jp/?mode=one&namber=40514&type=40512... ×5 (2007-12-15)
- fc2 blog [kyounoare.blog117] ×2 : 1, 1 (2007-12-15)
- http://forum.mozilla.gr.jp/?mode=all&namber=40512&type=0&spa... ×35 (2007-12-15)
- http://forum.mozilla.gr.jp/?mode=one&namber=40512&type=0&spa... ×21 (2007-12-15)
- http://www.kumachan.biz/pismo/blog/archives/2007/12/13_2205/... ×9 (2007-12-14)
- http://www.blue33.net/r.cgi?MoN=g&UoN=takagi-hiromitsu.jp/di... ×12 (2007-12-13)
- ココログ [stressfulangel cocolog] ×10 (2007-12-13)
- オレオレ証明書 ×211 / 第六種オレオレ証明書 ×189 / Authority Information Access ×133 / VeriSign Class 3 Secure Server 1024-bit CA ×74 / firefox 証明書 ×46 / オレオレ認証局 ×38 / verisign class 3 secure server 1024-bit ca ×38 / firefox 中間証明書 ×36 / Authority Info Access ×32 / authority information access ×32 / キーワード不明 ×26 / "VeriSign Class 3 Secure Server 1024-bit CA" ×17 / 中間証明書 firefox ×16 / VeriSign Class 3 Secure Server CA ×16 / verisign class 3 secure server ca ×13 / "Authority Information Access" ×12 / firefox オレオレ証明書 ×12 / オレオレ証明書+-hiromitsu.jp ×12 / safari 証明書 インストール ×11 / "VeriSign Class 3 Secure Server CA" ×11 / オレオレ証明書 IE ×11 / Firefox 証明書 ×10 / authority info access ×9 / オレオレ証明書 -hiromitsu.jp ×9 / 第6種オレオレ証明書 ×9 / access 証明書 ×9 / firefox 証明書 インストール ×8 / オレオレ証明書 firefox ×8 / firefox 認証局証明書 ×8 / SSL オレオレ証明書 ×8 / Authority information access ×8 / 第六種 ×8 / 中間証明書 ×8 / Authority Information Accessとは ×7 / SVR1024Secure2007-aia.cer ×7 / firefox ssl 証明書 ×7 / VeriSign Class 3 Secure Server 1024-bit CA - G2 ×6 / 中間証明 ×6 / firefox 証明書 クリア ×6 / FireFox 証明書 ×6 / -hiromitsu.jp オレオレ証明書 ×6 / IE 証明書ストア ×6 / svr1024secure-aia.verisign.com ×5 / safari 中間証明書 ×5 / firefox 証明書 設定 ×5 / オレオレ証明書 中間証明書 ×5 / 高木浩光 オレオレ証明書 ×5 / Authority Information access ×5 / 中間認証局 ×5 / 高木浩光 第六種 ×5 / internet explorer 7 中間証明書 ×5 / ie 中間証明書 自動取得 ×5 / 第6種オレオレ ×4 / 中間証明機関 ×4 / 専修大学 firefox ×4 / verisign class 3 secure server firefox ×4 / SSL ×4 / http://takagi-hiromitsu.jp/diary/20071212.html ×4 / 証明書 認証パス ×4 / 第四種オレオレ証明書 ×4 / firefox サーバ証明書 ×4 / 中間認証局 証明書 ×4 / 証明書 firefox ×4 / safari 証明書 警告 ×4 / 高木 証明書 ×4 / IE オレオレ証明書 ×4 / オレオレ証明書 作成 ×4 / SSL 証明書 FireFox IE ×4 / 証明書検証サーバ ×4 / オレオレ証明書 サイト ×3 / safari SSL 証明書 ×3 / オレオレ証明書 site: ×3 / "verisign class 3 secure server ca" ×3 / Authority Information Access: ×3 / オレオレ証明局 ×3 / -hiromitsu.jp SSL ×3 / Access 証明書 ×3 / 証明書パス検証の設定 ×3 / verisign 中間証明書 firefox ×3 / IE 証明書 CA ×3 / firefox 証明書 例外 ×3 / 適時開示 オレオレ ×3 / verisign class 3 secure server ×3 / class 3 secure server 1024-bit CA-G2 ×3 / 証明書 アクセス ×3 / "VeriSign Class 3 Secure Server CA" ie ×3 / SSL 証明書 ×3 / 中間証明書 自動 インストール ×3 / safari 中間証明書 ルート証明書 ×3 / 証明書ストア ×3 / VeriSign Class 3 Secure Server 1024-bit CA opera ×3 / 第6種オレオレ証明書 ×3 / safari ssl 証明書 ×3 / 第一種オレオレ証明書 ×3 / 高木 サーバ証明書 ×3 / Authority Info Access とは ×3 / verisign class 3 secure server 1024-bit CA ×3 / 証明書 オレオレ ×3 / ie6 オレオレ証明書 ×3 / Class3 証明書 ×3 / オレオレ証明書 第六種 ×3 / authority infomation access ×3 / safari 証明書 ×3 / firefox CA 証明書 ×3 / オレオレ証明書 警告 ×2 / 中間証明書 配置 Firefox ×2 / 証明書 Firefox ×2 / Access で使える証明書 ×2 / IE 証明書 ://takagi-hiromitsu.jp ×2 / SSL フォーム -hiromitsu.jp ×2 / SSL 証明書 インストール IE ×2 / 高木 浩光 Form ×2 / 六種 ×2 / firefox 証明書 更新 ×2 / firefox 証明書 ストア ×2 / オレオレ -hiromitsu.jp ×2 / aia とは 証明書 ×2 / Safari オレオレ証明書 ×2 / オレオレ証明書 民主党 ×2 / SSL 中間証明書 自動 IE ×2 / 中間証明書 高木浩光 ×2 / firefox ssl オレオレ ×2 / 中間証明書 民主党 ×2 / ie オレオレ証明書 ×2 / firefox 認証局 ×2 / オレオレ証明書 サンプル ×2 / IE 中間証明書 ×2 / オレオレ証明書 安全 ×2 / VeriSign Class 3 Secure Server 1024-bit ×2 / opera ssl オレオレ ×2 / authority information accessとは ×2 / SSL 証明書 firefox ×2 / 安全な オレオレ証明書 ×2 / safari 証明書ダウンロード ×2 / おれおれ証明書 ×2 / Safari 中間認証局 ×2 / firefox 証明書ストア ×2 / 中間証明書 IE ×2 / オレオレ証明書 自宅サーバ ×2 / オレオレ中間証明書 ×2 / 中間証明書 自動取り込み Firefox ×2 / オレオレ 中間証明書 ×2 / ://takagi-hiromitsu.jp/diary/ 民主党 ×2 / 第3種オレオレ証明書 ×2 / aia 証明書拡張 ×2 / 中間証明書 Firefox ×2 / 中間証明書 ダウンロード ×2 / オレオレ証明書 認証 ×2 / 中間認証局証明書 ×2 / 第6種 ×2 / FireFox 証明書 設定 ×2 / 証明書 認証領域 パスワード ×2 / 中間証明書 高木 ×2 / ssl オレオレ ×2 / オレオレ証明書 ://takagi-hiromitsu.jp/ ×2 / マイクロソフト ルート 中間認証局 インストール ×2 / firefox 証明書 キャッシュ ×2 / verisign class 3 secure server 1024-bit ca - g2 ×2 / オレオレ ×2 / 証明書 IE ×2 / IE6 オレオレ証明書 ×2 / IE 中間 Authority Information Access拡張フィールド 自動ダウンロード 検証 ×2 / http://takagi-hiromitsu.jp/diary/ opera ×2 / SSL オレオレ証明 ×2 / オレオレ証明書 +-hiromitsu.jp ×2 / オレオレ証明書 第6 ×2 / firefox 証明書インストール ×2 / firefox3 オレオレ証明書 ×2 / フォーム https 高木 送信元 ×2 / verisign 1024 firefox ×2 / firefox ssl 中間証明書 ×2 / 中間証明書 オレオレ ×2 / SSL証明書 インストール cer -hiromitsu.jp ×2 / 中間証明書 safari ×2 / ssl 中間認証局 ×2 / HTTPS オレオレ証明書 Firefox ×2 / オレオレ証明書 中間証明 ×2 / オレオレ証明書 脆弱 ×2 / 高木 オレオレ証明書 ×2 / 認証局 オレオレ ×2 / 認証局 ×2 / verisign 証明書 firefox ×2 / 高木 中間証明書 ×2 / IE 証明書のインストール "VeriSign Class 3 Secure Server" ×2 / firefox 3 中間認証 ×2 / ACCESS 証明書 ×2 / VeriSignClass3SecureServer1024-bitCA-G2.crt ×2 / AIA 証明書 ×2 / Authority Information Access拡張フィールド ×2 / Firefox オレオレ証明書 ×2 / 中間証明機関 IE ×2 / opera CA中間証明書 ×2 / Authority Information Access IE ×2 / サーバ証明書 IE firefox ×2 / 証明書 Authority Info Access ×2 / verisign class 3 secure server 1024 bit CA ×2 / サーバ証明書 オレオレ ×2 / 認証局 ie firefox ×2 / 高木 FireFox プラグイン SSL ×2 / 第六種オレオレ ×2 / 中間認証局 2000 XP 自動 ×2 / 中間認証局 構築 ×2 / サーバ証明書 firefox ×2 / 中間証明書 サーバ証明書 ×2 / firefox verisign class 3 secure Server CA ×2 / Firefox 証明書 設定 ×2 / svr1024secure2007-aia.cer ×2 / SSL 中間証明書 提示 ×2 / firefox CA証明書 ×2 / ssl オレオレ証明書 ×2 / firefox3 VeriSign Class 3 Secure Server 1024-bit CA ×2 / FireFox 証明書 インストール ×2 / "verisign class 3 secure server 1024-bit ca" ×2 / VeriSign Class 3 Secure Server 1024-bit CA 中間認証局 ×2 / サーバ証明書 中間証明書 ×2 / 民主党 認証局 ×2 / firefox サーバ証明書 IE ×2 / ssl 証明書 ×2 / safari オレオレ証明書 ×2 / firefox3 中間CA証明書 ×2 / firefox 証明書 警告 ×2 / オレオレ認証 高木 ×2 / IE 固有 HTTPS 中間CA ×2 / ie 証明書 接続不可 ×2 / 中間証明書 -hiromitsu.jp ×2 / 認証局証明書 firefox ×2 / VeriSign Class 3 Secure Server FireFox ×2 / Verisign Class 3 Secure Server 1024-bit CA ×2 / Firefox サーバ証明書 ×2 / オレオレ証明書 中間認証局 ×2
