OpenSSLの脆弱性(HeartBleed)を悪用することでサーバーのSSL証明書秘密鍵が盗まれる可能性があり、この件を受けて偽のWebサイトの設置が懸念されています。影響を受けたサービスは証明書の再発行・失効処理を行っており、netcraftも証明書の失効が大量に来ていると報告しています。
HeartBleedの影響を受けたとされるyahoo.comやdropboxも脆弱性発覚後に証明書を再発行しています。
- yahoo.com
- dropbox.com
証明書が失効されたWebサイトへアクセスするとどうなるか
では最近証明書が失効されたWebサイトに訪れるとどうなるでしょうか。
IEやFirefox等は警告が表示されますが、Chromeは初期設定でオンラインの証明書の失効確認が無効となっているため警告なく表示されてしまいました。
- InternetExplorer
Chromeでオンラインの証明書失効確認を有効にする
これでは失効済みの証明書が悪用されたWebサイトへ訪問してもユーザーは判別できない可能性があるため、オンラインでの失効確認を有効にする必要があります。
Chromeは「サーバー証明書の取り消しを確認する」にチェックを入れることでオンラインでの失効確認が有効化されます。
- (1) 設定を開き、「詳細設定を表示...」をクリックする
- (2) 「サーバー証明書の取り消しを確認する」にチェックを入れる
オンラインでの失効確認の有効後は警告が表示されるようになりました。
証明書失効確認のブラウザ別挙動
| ブラウザ | オンラインでの証明書失効の確認 | 失効後のアクセス |
|---|---|---|
| Internet Explorer 11 | 既定で有効 | 設定を変更しない限りアクセス不可 |
| Firefox 28 | 既定で有効 | 設定を変更しない限りアクセス不可 |
| Google Chrome33 | 既定で無効 | 一度失効確認した場合、設定を変更してもアクセス不可 |
| Opera 20 | 既定で有効 | 設定変更不可? |
| Safari | 既定で有効 | ダイアログで「続ける」を押せばアクセス可能 |
参考
- HeartBleed Challenge
- Enabling Certificate Revocation Checks in Google Chrome - Scott Helme
- Certificate Revocation and Heartbleed | CloudFlare Blog
- Google Chrome、SSL証明書のオンライン失効チェックを無効に - ITmedia エンタープライズ
- 自堕落な技術者の日記 : 将来Google ChromeがSSL証明書のオンライン失効検証をやめて独自の失効情報プッシュを行うという困った話 - livedoor Blog(ブログ)
- No, don't enable revocation checking (19 Apr 2014) ImperialViolet
