最近取得した GeoTrust の証明書で、プロクシー経由のときにセキュリティの警告がでます。

社内で全部でるので、ブラウザ依存の問題ではないかと思われます。
(どのようなプロクシというか、社内ファイヤウォールかは不明です。)
CAは下記で、DVが中間証明書です。
GeoTrust Global CA
GeoTrust DV SSL CA
もちろん、問題ない証明書なので、通常だと、再現ができません。

情報はこれだけで、多分こうなんじゃないかなというのが思い当たる方いらっしゃいましたら、
回答お願いします。


回答の条件
  • URL必須
  • 1人2回まで
  • 13歳以上
  • 登録:2011/01/13 13:17:49
  • 終了:2011/01/17 13:26:23

回答(3件)

id:deflation No.1

deflation回答回数1036ベストアンサー獲得回数1262011/01/13 14:49:17

ポイント14pt

状況がよく分からないのですが、その電子証明書をメールの電子署名にした場合にセキュリティ警告が出るということでしょうか。

プロキシの性質も分かりませんが、一部のファイアウォールが電子証明書を不正な添付ファイルとみなして警告を出すケースはあります。社内のネットワーク管理者またはセキュリティ管理者にお問い合わせください。

http://www.email-firewall.jp/products/mms.html

id:JULY No.2

JULY回答回数966ベストアンサー獲得回数2472011/01/14 15:54:22

ポイント40pt

ひょっとして、ウィルス対策や、情報漏洩対策の機能を持った Proxy を使っているとか...。

通常の HTTP Proxy だと、HTTPS で通信する場合に、ブラウザは Proxy に対して CONNECT メソッドというのを使っていて、この場合、Proxy は Web サーバとブラウザの間で、パケットの中継をするだけの動きになります。

この時 Proxy は、ブラウザと Web サーバとの間でやり取りされる暗号化されたデータを解読する事が出来ないので、Proxy 上でウィルスチェックや情報漏洩対策をやろうとすると、

  • ウィルスチェックをしようにも、暗号を解読出来ないのでチェック出来ない。
  • 情報漏えい対策で、禁止キーワードをチェックしようにも、暗号を解読出来ないのでチェック出来ない。

という事になります。

これは、SSL/TLS の通信が第3者から傍受されない、という意味で正しいのですが、Proxy 上でのセキュリティ対策としては、抜け穴になってしまう(Proxy 上でのチェックを受けられない)ことになります。

そこで、製品によっては、クライアント側に特別な証明書を入れることで、

  • ブラウザと Proxy の間は、その製品用の証明書で署名確認可能な証明書を Proxy が生成し、それを使って、SSL/TLS の通信を行う。
  • Proxy と Web サーバの間は、Proxy があたかもクライアントのブラウザの様にして、SSL/TLS の通信を行う。

という事を実現するものがあります。こうすれば、あくまでも、Web サーバにとってのクライアントは Proxy になるので、Web サーバとの通信をチェックする事が可能になります。

SSL通信を解析可能なプロキシ - Security & Trust会議室

この場合、通常、ブラウザが署名確認する証明書を、Proxy が確認することになります。という事は、例えば、その Proxy が GeoTrust のルート証明書を持っていなかったり、あるいは、中間証明書を正しく扱えないと、Proxy と Web サーバの間で、証明書の署名確認に失敗することになります。

ただ、この場合、ブラウザが署名確認したわけじゃないので、通常、ブラウザが表示している警告とは別の形で警告が表示される可能性があります。大抵のブラウザはダイアログが表示されると思うのですが、ダイアログなしに、通常、ページを表示している部分に警告の文言が表示されていると、このパターンの可能性が高いです。ひょっとしたら、Proxy 側がわざと警告が出るような証明書を生成して、警告ダイアログが表示されるようになっているかもしれません。

...と、かなり想像力たくましくして、推定したので、外している可能性大ですが(^^;。

id:kaiketsu

想像力つかっていただきありがとうございます。

2011/01/17 13:24:39
id:t_yamo No.3

t_yamo回答回数13ベストアンサー獲得回数22011/01/15 13:25:24

ポイント26pt

ネットワーク構成や正確な警告メッセージが不明なので特定しがたいところがありますが、リバースプロキシ構成で、証明書のCN(コモンネーム)がクライアントから見えるところにあるプロキシのFQDNではなく裏側にあるサーバ側の名前になってたりしないですかね。

http://www2.shakemid.com/fswiki/wiki.cgi?page=DeleGate+HTTPS+Rev...

id:kaiketsu

なるほどそういったこともありえそうですね。

2011/01/17 13:25:14

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません