こちらも何年か前の話ですが、とある証明機関さんと協力して、サーバやネットワーク機器にそのSSL証明書をインポートして、正常に使えるか、という検証をしていました。もちろんSSLのしくみなどについては前から聞いたことはあったのですが、自己署名証明書ではなく実際に有効な証明書を使って検証したことはそのときまではありませんでした。
CSRを作成し、証明機関さんに証明書を発行していただき、証明書をサーバやネットワーク機器にインポート、で、このときにSSL処理(このときはHTTPS)の処理ができるか、というのを観ていました。
単純なページでは特に問題もなく、ブラウザの表示(鍵マークが表示されるか、など)も大丈夫そうです。暗号化処理に関してはとりあえずできてそうだな、と思っていたのですが、あるWebコンテンツに対してHTTPSでアクセスしたときに、ブラウザ(InternetExplorer:IE)でセキュリティ警告ダイアログが出てしまいました。「このページにはセキュリティで保護されている項目と保護されていない項目が含まれています。保護されていない項目を表示しますか?」というメッセージです。「はい」を選択するとブラウザに鍵マークが表示されません。
誰かが「これは部分的に暗号化されているものと暗号化されていないものがある。誤動作ではないか?」ということを懸念していました。まあ、メッセージだけみたらそう思っても不思議はないのかもしれません。でも、念のためパケットキャプチャ(このときはWiresharkとWindows標準のネットワークモニタを使いました)を見てみますが、平文のHTTPはないですし、もちろんASCII文字で読めるようなものは見つかりませんでした。
一応証明機関にも聞いてみましたが、さすがにこのケースはよくあるようで、ナレッジとして持っていたようです。
まず、画面デザインにフレームを使用していると、「鍵マーク」が表示されない場合があるようです。こちらはマイクロソフトのサイトに情報があります。
http://support.microsoft.com/?scid=kb;ja;820688&spid=2073&sid=283
また、接続時のサイト内に非SSLページへのハイパーリンクが含まれている場合(具体的にはコンテンツの表記に[ https://~ ]から始まるハイパーリンクと[ http://~ ]から始まるハイパーリンクが混在しているとき)に、鍵マークが表示されない場合があるようです。
あ、うちの検証で使ってたページのHTMLを見てみると、確かにあるな・・・。この項目をコメントアウトしたり、リンクのスキームをhttpからhttpsにかえたり、絶対パスではなく相対パスにしたら警告はでなくなり、きちんと鍵マークも表示されます。
まあ、外部リンクの場合には変更のしようがないですが、その場合には「HTTPへのリンクはHTTPのページにのみ掲載する」など、ページのつくりなどを工夫すれば回避は可能です。
ちなみにこのへんも、確か過去に「情報セキュリティスペシャリスト試験」の午後一試験で出てましたね。
このほか、FTP(IMPLICIT/EXPLICIT)やSMTP(STARTTLS)についても検証する機会がありました。そのあたりも今後機会があれば紹介します。
この記事が気に入りましたら、また、お役に立ちましたら、以下のアイコンをクリックしていただけると嬉しいです(^^)
※コメント投稿者のブログIDはブログ作成者のみに通知されます