IE 7の普及でサーバ証明書失効によるトラブルが表面化する(高木浩光@自宅の日記)より:
オレオレ証明書の場合の画面と異なり、「このサイトの閲覧を続行する」のリンクが用意されていない。
今後、サイト運営者が「失効確認の設定をオフにしてください」などと言い出すことが懸念される。
掲示板の質問を読むとき、セキュリティ的なことを高木氏の記事を参考にしています。
さて、今回の対象の gooten cash というサイトですが、アドレスバーなどを消していますね。高木氏のつっこみがありませんが、マンネリ化したので放置?ただ、http から https へのポストではなく、https でつながったページにログイン画面を持ってきています。
なお、IE6 の場合の警告が出ていますが、同時に、ウインドウ内には何も描画されません。真っ白の画面が出ます。
オレオレ証明書の場合の警告では続行ができるのに、失効証明書の場合は続行を許さないというのには首をかしげる。詐欺師がこうなるとわかっていてわざわざ失効証明書を使うわけがないし、失効証明書の秘密鍵を入手するよりオレオレ証明書を自作するほうがはるかに容易なのに。
Opera でアクセスすると、次のような警告文が出ました。
セキュリティ接続: 致命的なエラー (44)
証明書が発行人により無効にされています。
証明書の取り消しが、発行人により行われているというのが、ミソかと。理由は「新しい証明書が発行されているため証明書は破棄されました」ということなのでしょうが、これは付随情報で、メインは「一度与えられた証明書が取り消された」ということかと思われます。
つまり、発行者が無効にしたということが、オレオレ証明書より致命的であると扱われるのではないでしょうか。「失効」、効力を失うと書くと、期限が切れたことによって効力を失うことも含まれます。しかし、「取り消された」だと、誰かが能動的にアクションを起こしています。どちらかというと、「取り消された」で用語を統一する方がいいのかもしれません。
なお、Opera9.2 では、デフォルト設定でアクセスできませんでした。これの変更方法がわからない。FireFox2.0.0.3 では、デフォルト設定でアクセスできました。設定の変更は、オプションの[詳細]→[暗号化]タブ→[検証]ボタンで設定できます。これを[次の OCSP レスポンダを利用してすべての証明書を検証する][Builtin Object Token:Verisign Class4 Public Prim...](「サービス URL」は空白)に変更すると、www.gootencash-sys.jp により提示された証明書はすでに失効しているため、暗号化された接続を確立できませんでした。
という警告が表示され、同じくページ内容は表示されませんでした。また、はてなブックマークに「証明書にOCSPサービスURLが記載されている場合にのみ利用する」で失効確認。
というコメントがありますが、私のところでは、この設定ではブロックされませんでした。
これって、再発行というか再契約というか、期限延長によって新しい証明書を発行したので、発行者が古い証明を無効にした。サイトの管理者が、新しい証明書に差し替えないといけないのに、古い証明書のまま、あるいは古い証明書の有効期限いっぱいまでそのまま置いておいた、、、ってことでしょうかね?
しかし...リンク元にある、fujitsu.com の内容が気になりますね。「ココログ」、つまり富士通グループが運営するものに関する記事ってことで載っているんだろうけど。
http://takagi-hiromitsu.jp/diary/tb.rb/20070415
投稿日時 : 2007年4月18日 22:02