パスワードを忘れた? アカウント作成
15184 story

IE7の普及でサーバ証明書失効トラブルが続出するかも? 100

ストーリー by kazekiri
そんなに多いのかな 部門より

Anonymous Coward 曰く、

高木浩光@自宅の日記にて、IE7の普及でサーバ証明書失効によるトラブルが表面化するというエントリ。IE6までは「サーバー証明書の取り消しを確認する」の設定がデフォルトでオフになっていたものが、IE7ではデフォルトでオンになったとのことで、サーバ証明書が失効したサイトの閲覧ができないという事例が出ていることについての話である。 これによれば、IE7ではサーバ証明書が失効している場合の表示において、閲覧を続行するリンクが用意されていないらしい。 高木氏は、「オレオレ証明書の場合の警告では続行ができるのに、失効証明書の場合は続行を許さないというのには首をかしげる。」と書いているが、失効という状況はいただけないものの、確かにそうかもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ユースケースというか利用形態を考えると、その方が少し安全では、と思うんですけどね。

    オレオレ認証書 : 社内などの暗号化だけ系のサーバで利用されてたりする(なので続行できないのはつらい)
                                      もちろん、フィッシングサイトも利用している(どの程度のレベルのサイトかは不明)
                                      # ただ、ダイアログ(IE6)がでると不審に思われるから、最近の巧妙なフィッシングソリューション(?)
                                      # としてはむしろ利用しないのではないかと推測するんですが...
    失効認証書 : 時間切れなのもある(ここが問題)
                                      が、認証局が「フィッシングサイトと判明」して失効させたものもある。
                                      ここで失効を受けつけていないと、見た目ダイアログすらも出ないで正常なSSLの通信をしているページに見える。
                                      # これが期限切れまでつづく。
                                      # もちろんフィッシング判断用のブラックリストには入るとは思うんですが。

    実際、MSの中の人がどのようなリスク評価でこのUIを設計したのかは図りかねる状況ですが、まあアリではないかなと。

    # IE7の警告の仕方自体はいままで以上に明確になった感じでよいのではないかと思っています。
    # 火焔狐メインなのでID
    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2007年04月17日 18時06分 (#1144029)
    とはいっても、オレオレの場合はオレオレなりに現状も有効な訳で、現状失効した物の方が厳しく弾かれるのは当たり前の様な。

    一番正しいのはオレオレも弾くってのだろうけど、それはそれで現実的で無いし。

    つーか、真っ当な機関なら失効しない様にちゃんとチェックしとけ、ってだけで良いんでない?
    失効に対してオレオレ証明も用意しないんであれば、そりゃ見てもらう前提では無いって事で。

    • Re:正しいんでは? (スコア:1, フレームのもと)

      by soryu (13825) on 2007年04月17日 18時29分 (#1144044)
      オレオレ証明書であれば、SSL的には"何も"意味ないですけどね。。。
      親コメント
      • Re:正しいんでは? (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2007年04月17日 18時41分 (#1144055)
        オレオレ証明書よりVerisignの方が信用できません
        親コメント
        • by mocchino (13752) on 2007年04月18日 13時27分 (#1144502)
          自分自身しか使わないので有ればオレオレ証明書はもっとも信用できますね
          信用できないのは自分以外の他者が作ったオレオレ証明書を使わざる得ない場合です
          故に自分しか使わないVPNとかWebの証明書にオレオレを使っても問題ありません
          公開鍵証明書のコピーはネットワーク経由でなくUSB等で行う事によりさらに安全度アップです

          までよ、自分自身で作ったオレオレ証明書が信用できない人って言うのは
          もしかして自分が一番信用できないって事なのかな?
          親コメント
      • by Anonymous Coward on 2007年04月17日 19時25分 (#1144079)
        何の意味もないとわかってオレオレ証明書なhttpsサーバを動かしてます。

        いや、会社でちょっとした通販をやってるのですが、
        「個人情報をhttpで送るのはだめだ。httpsにしろ」ってしつこく要求する
        クレーマーがいたもので、逃げてオレオレ証明書導入。

        ちなみに、申し込まれた時には(発送先住所なども含めた)内容確認のメールを出してたりするのですが
        (その旨、申込み手順のページにも説明してる)そっちにクレームが付いたことはないですね…
        おまいらSSLって言いたいだけちゃうんか、と
        親コメント
        • by 127.0.0.1 (33105) on 2007年04月18日 9時25分 (#1144345) 日記
          >ちなみに、申し込まれた時には(発送先住所なども含めた)内容確認のメールを出してたりするのですが

          これ、メールは途中で誰かに見られる可能性があるということとは別に、
          申込者が自分のメールアドレスを間違えてたりすると第三者に個人情報漏洩という
          事態になり、いろいろ面倒なので、まんま情報を返すのはやめたほうがいいです。
          アドレスを間違えた奴が悪いにしても。
          親コメント
  • 失効の理由は? (スコア:2, 参考になる)

    by cloudy (1160) on 2007年04月17日 22時05分 (#1144167)
    そもそも、なぜ証明書が失効したのでしょうかね。
    このグーテンキャッシュを運営している株式会社スタイレックについては、なにかと良くない噂があるようですが…
    http://proxy.bbsnews.jp/2ch/venture/1145980490/ [bbsnews.jp]
    http://www.geocities.jp/satellitewinter/index.html [geocities.jp]

    • by nisiguti (1286) on 2007年04月18日 0時10分 (#1144233)
      Opera9.2で当該サイトの当該ページ [gootencash-sys.jp]にアクセスしても
      「証明書が発行人により無効にされています。」
      と表示されて先に進めませんでした。
      # 偉いぞOpera :)

      でOpera9.2では
      「新しい証明書が発行されているため証明書は破棄されました」
      と表示されていますので、そういう事なんでしょう。
      新しい証明書が発行されているのに、証明書(と必要に応じて秘密鍵)を
      差し替え忘れているのでしょうか…。

      親コメント
      • 証明書の発効日時と失効日時を調べたら
            発効 : Nov 22 00:00:00 2005 GMT
            失効 : Dec 1 00:45:18 2005 GMT
        とこの間たったの1週間です。

        これだと差し替え忘れという状況ではないように思われます。
        親コメント
        • by nisiguti (1286) on 2007年04月18日 6時39分 (#1144301)
          う~ん、それはどうでしょう…。

          通常、証明書の申請から発行までは時間を要しますので、サーバ管理者が仕事に
          忙殺されていた場合などは、新しい証明書が発行されたという事に気付かないと
          いう事も有ると思います。また根本的な問題として、鍵ペアを差し替えなければ
          ならないという事を、サーバ管理者が知らない/忘れているという事も有りますので…。

          1回/年しかしないような手続きを誰でも知っているというのは有りえないと思います。
          まして失効手続きをした時の手順なんて知らなくて当然かと…。(^^;
          親コメント
        • 正式購入前のお試し版(環境構築のためのテスト用)として、
          有効期間の短い証明書を発行してるとこがあったと思います。
          それを導入してから、正式版に差し替えるのを忘れてたとか?
          親コメント
  • by Anonymous Coward on 2007年04月18日 0時17分 (#1144234)
    たとえオレオレ証明書であっても注意深く正しく運用できれば(例えば証明書を安全な手段で入手できれば)
    SSLが正しく動くというのは正しい

    しかし そのように正しく使われている例は非常に少ないし
    不特定多数に安全な手段で配ることは不可能に近い

    正しく使われていない場合には相手の確認もできないし
    暗号化にも意味がない

    だから オレオレ証明書は使うべきではない

    という高木さんの主張の前段を仮定をすっとばして

    オレオレ証明書に意味はない

    と意味もわからず叫ぶのは 高木さんにも 高木さんの主張を否定したい人にも迷惑っぽいです

    そして

    > オレオレ証明書の場合の警告では続行ができるのに、
    > 失効証明書の場合は続行を許さないというのには首をかしげる。
    (→ 失効証明書だけじゃなくて
       オレオレ証明書の場合も続行しないようにしろよ)

    という古文の二重否定のような文章を読み取れるように努力しないといけないようです
    • おおおお、それなら納得できます。(^^)

      しかしもしそれなら
      「失効証明書だけじゃなくてオレオレ証明書の場合も続行しないようにしろよ」
      と書いて欲しいですねぇ。
      # それはそれでMSにクレームが殺到しそうな予感がしますが。A(^^;
      親コメント
      • まぁオレオレ証明書は、ネットワーク経由以外の別な方法で入手し、ブラウザに登録しておくのが運用としては好ましいと思うので..
        (ネットワーク経由だとその証明書を配布しているサイトが本物かどうか判断つかないですし...)

        ブラウザ未登録のオレオレ証明書を使ってるサイトは見られないようにする

        っていうのなら有りかなとは思います
        親コメント
  • by Anonymous Coward on 2007年04月17日 18時09分 (#1144031)
    失効ということはその証明書は何も証明していないわけで。
    フィンガープリントを確認しているなど、ローカル証明書は条件によっては信用できます。

    失効は一切閲覧させず、ローカル証明書はオプションで閲覧できるようにするのは合理的では。

    • 同感。

      失効されるってことは、つまり、失効業務を行なうCA局がきちんと管理していて、この証明書は正真正銘効力を失っています、と証明してくれているわけですので、これは変な話、"安心して"信頼しないことができるわけです。

      プライベート証明書は、実務上さまざまに使用されているわけで、それこそプライベートな空間で信頼することもあるし、悪意を持った証明書もあるだろうし、ケースざまざま。それを見分ける手段は、事実上存在しない。

      やっぱり、メーカーの実装としては正しいように見えますね。
      親コメント
  • そうかなあ (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年04月17日 18時10分 (#1144032)
    >「オレオレ証明書の場合の警告では続行ができるのに、失効証明書の場合は続行を許さないというのには首をかしげる。」

    CRLに載っているというのはわざわざ失効させるだけの状況が発生しているわけで、ランダムなオレオレ証明書より厳しく扱うのも違和感ないけど。
  • by Henrich (121) on 2007年04月17日 23時52分 (#1144225)
    そういや Symantec のサイトにあるファイルダウンロード用 Java Applet で使う証明書の期限が切れて問い合わせたんだけど、そろそろ直ってたりするかなぁ…と思い出した。

    #最初に1ヶ月ぐらい経ってから返事きた時は「まだ」っていってたけど。
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...