ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-04-13

Chromeは既定だとオンラインで証明書の失効確認していないので設定方法を調べてみた

| 08:34 | Chromeは既定だとオンラインで証明書の失効確認していないので設定方法を調べてみたを含むブックマーク

OpenSSLの脆弱性(HeartBleed)を悪用することでサーバーSSL証明書秘密鍵が盗まれる可能性があり、この件を受けて偽のWebサイトの設置が懸念されています。影響を受けたサービスは証明書の再発行・失効処理を行っており、netcraftも証明書の失効が大量に来ていると報告しています。

HeartBleedの影響を受けたとされるyahoo.comやdropbox脆弱性発覚後に証明書を再発行しています。

f:id:Kango:20140413080335p:image:w450

f:id:Kango:20140413080336p:image:w450

証明書が失効されたWebサイトへアクセスするとどうなるか

では最近証明書が失効されたWebサイトに訪れるとどうなるでしょうか。

IEFirefox等は警告が表示されますが、Chrome初期設定でオンラインの証明書の失効確認が無効となっているため警告なく表示されてしまいました。

  • InternetExplorer

f:id:Kango:20140413080339p:image:w600

f:id:Kango:20140413080338p:image:w600

f:id:Kango:20140413080337p:image:w600

f:id:Kango:20140413080342p:image:w600

f:id:Kango:20140413080341p:image:w600

追記 2014.04.19

検証に使用したこのサイトのSSL証明書はGoogleから失効情報が既に配信されているようで、2014/04/14現在アクセスするとオンラインでの失効確認が無効化されていても、失効エラーが表示されます。

Chromeでオンラインの証明書失効確認を有効にする

これでは失効済みの証明書が悪用されたWebサイトへ訪問してもユーザーは判別できない可能性があるため、オンラインでの失効確認を有効にする必要があります。

Chromeは「サーバー証明書の取り消しを確認する」にチェックを入れることでオンラインでの失効確認が有効化されます。

  • (1) 設定を開き、「詳細設定を表示...」をクリックする

f:id:Kango:20140413082150p:image

f:id:Kango:20140413082149p:image

オンラインでの失効確認の有効後は警告が表示されるようになりました。

f:id:Kango:20140413081720p:image:w600

証明書失効確認のブラウザ別挙動

ブラウザオンラインでの証明書失効の確認失効後のアクセス
Internet Explorer 11既定で有効設定を変更しない限りアクセス不可
Firefox 28既定で有効設定を変更しない限りアクセス不可
Google Chrome33既定で無効一度失効確認した場合、設定を変更してもアクセス不可
Opera 20既定で有効設定変更不可?
Safari既定で有効ダイアログで「続ける」を押せばアクセス可能

参考