Hebikuzure's Tech Memo

2013年12月14日

弱い証明書の制限

Filed under: Yet Another Internet Explorer Advent Calendar 2013 — hebikuzure @ 11:02 PM

この記事は “Yet Another Internet Explorer Advent Calendar 2013” の 14 日目です。


インターネット上の安全な通信の方法として SSL が広く利用されていますが、SSL ではサーバー (と、オプションとしてクライアント) のデジタル証明書を利用しています。この証明書の作成には暗号化技術が使われていますが、暗号化の方法に問題があると第三者が暗号を解読し、通信の相手先になりすましたり、通信の内容を解読したりすることが可能になります。こうした問題のある暗号化方法の事を「弱い (暗号化) 鍵」と呼ぶこともあります。

Internet Explorer では Windows 自体の持っているデジタル証明書関連の機能を利用して、SSL に利用されるデジタル証明書が安全であるか、正しく発行されたものであるかを確認しており、デジタル証明書に重大な問題がある場合、それを利用しているページの表示をブロックします。ブロックした事を示すエラー ページでは、以下のようにページを閉じるオプションのみ表示され、閲覧を続行することはできません。

エラー画面
(http://blogs.msdn.com/b/ieinternals/archive/2013/12/12/ie-website-security-certificate-blocking-page-missing-continue-link.aspx から引用)

このようにページの表示がブロックされるのは、以下の場合です。

  1. 証明書が失効している (取消されている) 場合
  2. 証明書が弱い鍵で作成されているなど、安全でない場合
  3. ピン留めサイトを開いていて、証明書にエラーがある場合 (通常のモードでは閲覧が続行できる軽微なエラーの場合でもブロックされます)
  4. グループ ポリシーで「証明書エラーを無視できないようにする (Prevent Ignoring Certificate Errors)」が有効になっている場合

ポリシー「証明書エラーを無視できないようにする」は以下の場所にあります
– 管理用テンプレート
– Windows コンポーネント
– Internet Explorer
– インターネット コントロール パネル

これらの条件の中で、多くのサイトで問題になりやすいのは「2.」のケースでしょう。特に古い暗号化方式で作成されたデジタル証明書が、Windows の更新によって「弱い鍵」と判定されるようになり、証明書が無効になってしまうようなケースです。以下に、最近のデジタル証明書関連の更新情報 (および更新予定) で、Internet Explorer での Web 閲覧に影響を与えるものを示します。

マイクロソフト セキュリティ アドバイザリ (2661254)  : 証明書の鍵長の最小値に関する更新プログラム
(http://technet.microsoft.com/ja-jp/security/advisory/2854544 / http://support.microsoft.com/kb/2661254)

この更新では、長さ 1024 ビット未満の RSA キーを使用した証明書の使用が制限されます。長さ 1024 ビット未満の RSA キーを使用する証明書は信頼されなくなるため、そのような証明書を利用して SSL 通信を行おうとする Web サーバーにアクセスすると、Internet Explorer はページの表示をブロックします。
この更新プログラムは 2012年8月15日に公開され、2012年10月10日以降 Windows Update (自動更新) で提供されています。また Windows 8 または Windows Server 2012 以降のバージョンには、この更新の内容が最初から含まれています。

既に公開や Windows Update での提供が始まってかなりの時間が経っている更新なので、実際に影響が及ぶような公開サイトでは対処済みとなっている場合が多いでしょう。
イントラネットのサイトなどで、クライアントへの更新の配布が管理されている環境の場合、クライアントに KB2661254 の更新が適用されておらず問題が顕在化していない場合も考えられます。そうした環境でも今後 Windows 8 以降のクライアントを利用する場合には制限が適用されているため、特定のイントラネット サイトの閲覧やイントラネット Web アプリケーションの利用に問題が生じる可能性があります。
こうした可能性がある場合、上掲のリンクで示したセキュリティ アドバイザリやサポート技術情報を参照し、早めに該当する証明書が使用されていないか確認して対策しましょう。

マイクロソフト セキュリティ アドバイザリ (2862973) : マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム
(http://technet.microsoft.com/ja-jp/security/advisory/2862973 / http://support.microsoft.com/kb/2862973/ja)

この更新では、マイクロソフト ルート証明書プログラムで提供されているルートから発行された証明書について、 MD5 ハッシュ アルゴリズムを利用している証明書の使用が制限されます。マイクロソフト ルート証明書プログラム以外からユーザーがインストールしているルート証明書やそのルートから発行された証明書については、影響を与えません。

マイクロソフト ルート証明書プログラム
良く利用されるルート証明書をあらかじめ Windows のインストールに含めてすぐに利用できるようにしたり、Windows Update を経由して必要に応じて Windows の「信頼されたルート証明機関」にルート証明書を配布したりする仕組みです。詳しくは以下を参照してください。
Windows PKI – その2 – ルート証明書更新プログラムとは? (http://blogs.technet.com/b/jpntsblog/archive/2009/12/24/windows-pki-2.aspx)
Windows ルート証明書プログラムのメンバー (http://support.microsoft.com/kb/931125/ja)
Introduction to The Microsoft Root Certificate Program (http://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx)

この更新が適用されると、マイクロソフト ルート証明書プログラムで提供されているルート証明書を証明書チェーンの頂点にしている証明書では、MD5 ハッシュ アルゴリズムを利用していると信頼されなくなります。そのような証明書を利用して SSL 通信を行おうとする Web サーバーにアクセスすると、Internet Explorer はページの表示をブロックします。
この更新プログラムは2013年8月28日にリリースされ、2014年2月12日から Windows Update および自動更新で提供が開始される予定です。Windows 8.1 または Windows Server 2012 R2 には、この更新の内容が最初から含まれています。

MD5 ハッシュ アルゴリズムは以前から広く利用されていましたが、現在のセキュリティが求める安全なレベルを確保できなくなってきているため、無効にされます。間もなく Windows Update での提供が開始されますので、公開 Web サーバーを持っている管理者の方は、早めに検証される事をお勧めします。また企業内で使用している証明書の場合でも、企業内のエンタープライズ CA が外部の CA からの認証を受けていない (いわゆる「オレオレ ルート証明書」) 場合は良いのですが、そうでない場合はこの更新の影響を受けると考えられます。早めに該当する証明書が使用されていないか確認して対策しましょう。

マイクロソフト セキュリティ アドバイザリ (2880823) : マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止
(http://technet.microsoft.com/ja-jp/security/advisory/2880823)

この情報は予定です。マイクロソフト ルート証明書プログラムでは、2016 年 1 月 1 日以降、ルート証明機関は SSL とコード サイニングの目的で、SHA-1 ハッシュ アルゴリズムを使って X.509 証明書を発行できなくなります (X.509 とは、証明書の標準的なフォーマットです)。

この更新自体の影響は限定的ですが、セキュリティ アドバイザリに書かれているように Microsoft は「お客様ができるだけ早い機会に SHA-1 証明書を SHA-2 証明書に置き換えることを推奨します」あるいは「デジタル証明書の署名用アルゴリズムとして、SHA-1 の代わりに SHA-2 を使用するように、管理者と証明機関に推奨する」と言っています。従って、将来的には上記2つのアドバイザリーと同様に、 SHA-1 ハッシュ アルゴリズムを利用した証明書自体がブロックされるようになる可能性があると考えられます。

新規に証明書を発行する場合、SHA-1 ハッシュ アルゴリズムを利用しないこと、また将来にわたって利用する証明書については更新の際に SHA-1 証明書を SHA-2 証明書に置き換えることが必要です。

参考
“Continue” Link Missing from Certificate Error Page? (http://blogs.msdn.com/b/ieinternals/archive/2013/12/12/ie-website-security-certificate-blocking-page-missing-continue-link.aspx)

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。