none
SSL証明書について RRS feed

  • 質問

  • 以下2点についてご教示いただければ幸甚に存じます。

    1.ウェブフィルターソフトには、ユーザーがアクセス先サイトから得るSSL証明書の内容を持つSSL証明書をユーザーに発行する仕組みのあるものがあると聞きました。これはいわゆる「オレオレ証明書」にあたるものでしょうか。

    2.MS社はSHA-1廃止措置についてオレオレ証明書を対象外としています。ウェブフィルターソフトの発行するSSL証明書がSHA-1であっても、本来のアクセス先サイトが持つSSL証明書がSHA-2であれば、2017/2/14の廃止措置後もユーザーはSSL/TSLに失敗しないと考えて良いでしょうか。また、2016年6月にMS社が警告を出すことになった場合、ユーザーはその警告を見ないと考えてよいでしょうか。

    どうぞよろしくお願いいたします。

    2016年5月16日 6:15

回答

  • 質問者さんの言う「ウェブフィルターソフト」とは何だか分かってないですが・・・

    IE のフォーラムで質問されていますが、質問者さんの言う「ウェブフィルターソフト」とは、IE とは直接関係ないサードパーティ製品ではないですか? そうであれば、その「ウェブフィルターソフト」を提供しているベンダーに聞いてみたでしょうか?

    ググって調べてみると以下のような仕組みで SSL 通信の内容を解読する製品があるそうで、そのようなものだとすると、その記事にも書いてあるように "証明書にはお客様環境にて信認する認証局の署名が施されたものを使用する" ということになるそうです。それを「オレオレ証明書」(ブラウザが知らない誰かが署名したサーバー証明書のことと理解)にできそうな感じもします。

    オプション製品 ― i-FILTER SSL Adapter
    http://www.marubeni-sys.com/sec/ifilter/op/option_05.html

    でも、それは私の単なる想像ですし、違う製品であればどうなるのか分かりません。結局、その製品を作ったベンダーに聞かなきゃ分からないことだと思うのですが。

    見当違いのレスになっていたらすみません。

     

    • 回答としてマーク 星 睦美 2016年6月27日 1:42
    2016年5月16日 7:30

すべての返信

  • 質問者さんの言う「ウェブフィルターソフト」とは何だか分かってないですが・・・

    IE のフォーラムで質問されていますが、質問者さんの言う「ウェブフィルターソフト」とは、IE とは直接関係ないサードパーティ製品ではないですか? そうであれば、その「ウェブフィルターソフト」を提供しているベンダーに聞いてみたでしょうか?

    ググって調べてみると以下のような仕組みで SSL 通信の内容を解読する製品があるそうで、そのようなものだとすると、その記事にも書いてあるように "証明書にはお客様環境にて信認する認証局の署名が施されたものを使用する" ということになるそうです。それを「オレオレ証明書」(ブラウザが知らない誰かが署名したサーバー証明書のことと理解)にできそうな感じもします。

    オプション製品 ― i-FILTER SSL Adapter
    http://www.marubeni-sys.com/sec/ifilter/op/option_05.html

    でも、それは私の単なる想像ですし、違う製品であればどうなるのか分かりません。結局、その製品を作ったベンダーに聞かなきゃ分からないことだと思うのですが。

    見当違いのレスになっていたらすみません。

     

    • 回答としてマーク 星 睦美 2016年6月27日 1:42
    2016年5月16日 7:30
  • 調査とご回答ありがとうございます。

    SurferOnWww様のおっしゃる通り、ソフトのベンダーに確認すべき話ですね。こちらがウェブページの提供側で、ユーザーである相手方がフィルターソフトを使用している、という関係で、直接の顧客でない私からソフトベンダーに問い合わせるのをためらい、この場をお借りした次第です。

    ソフトベンダーに確認してみることにします。誠にありがとうございました。

    2016年5月16日 7:47