cybertのセキュリティ日記 このページをアンテナに追加 RSSフィード

2006-11-18 証明書エラーが出るサイトはIE7では見れない?

[]証明書エラーが出るサイトはIE7では見れない?

IE7を入れて遊んでいると、https のサイトで見れないサイトが出てきた。どうやら、証明書に問題があるサイトは表示されないようだ。IE6だと警告のポップアップが表示されるのだが、IE7だと画面に下の様なエラー画面が表示される。



 この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたものです。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。  
  このページを閉じて、この Web サイトの閲覧を続行しないことを推奨します。 
  ここをクリックしてこの Web ページを閉じる。  
  このサイトの閲覧を続行する (推奨されません)。  

f:id:cybert:20061118130002j:image

画面は、高木浩光@自宅の日記で指摘されている証明書エラーが出る某サイトをIE7で表示させたもの。

http://takagi-hiromitsu.jp/diary/20050115.html

もちろん「このサイトの閲覧を続行する」をクリックすると表示はされるのだが、下の様にアドレスバーが赤くなり、証明書エラーと表示される。

f:id:cybert:20061118130501j:image

IE7の普及でオレオレ証明書は減る?

証明書のエラーが出るのは、期限切れやオレオレ証明書や他ドメインの使い回しであったりするのだが、こういったサイトがIE7の普及により少なくなると良いなと思う。

セキュリティエンジニアの困った

しかし、困った事が出てきました。私はセキュリティ関係の仕事をしていて主にWebアプリ脆弱性をチェックする仕事をしているのですが、仕事でよくBurpProxyというツールを使っています。こいつは、Proxyサーバの役割をして、リクエストを書き換えてWebアプリの挙動を調べるのに使います。

イメージとしてはこんな感じ。サイト⇔BurpProxy⇔ブラウザ

正常な証明書エラーの出ないサイトを閲覧する時も、BurpProxyを経由するのでSSL使用時にはBurpProxyの証明書を受け入れなくてはならない。当たり前だけど、証明書エラーが出るので画面キャプチャを取る時に証明書エラーの画面はお客さんに出せないよなーっと思う。

BurpProxyではてなログインページを表示。アドレスバーが赤くなっているのが分かる。

f:id:cybert:20061118134239j:image

masakiti2005masakiti2005 2006/11/18 14:40 お、「 この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたものです。」って出ちゃうのは困るね。
設定で変えられないとしたら・・・IE7あんま使えないことになっちゃうね。

cybertcybert 2006/11/18 19:01 ですよねー。多分設定で変えられそうな気がするけど、それはそれで問題ないかなぁ。デフォルト設定で検証すべき?

なないろいちごなないろいちご 2007/07/16 09:14 私の場合、この画面が出ると、推奨されないほうの選択肢が出ないんです。
つい最近まで普通にアクセスできていたサイトなのですが…解決法はないのでしょうか?

あきらあきら 2007/09/28 23:13 yahoo等でログインできなくなってしまいした。
設定でどうにかならないですか?

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/cybert/20061118/1163824223