人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

最近取得した GeoTrust の証明書で、プロクシー経由のときにセキュリティの警告がでます。
社内で全部でるので、ブラウザ依存の問題ではないかと思われます。
(どのようなプロクシというか、社内ファイヤウォールかは不明です。)
CAは下記で、DVが中間証明書です。
GeoTrust Global CA
GeoTrust DV SSL CA
もちろん、問題ない証明書なので、通常だと、再現ができません。

情報はこれだけで、多分こうなんじゃないかなというのが思い当たる方いらっしゃいましたら、
回答お願いします。




●質問者: kaiketsu
●カテゴリ:コンピュータ インターネット
✍キーワード:Ca DV Geotrust SSL セキュリティ
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● deflation
●14ポイント

状況がよく分からないのですが、その電子証明書をメールの電子署名にした場合にセキュリティ警告が出るということでしょうか。

プロキシの性質も分かりませんが、一部のファイアウォールが電子証明書を不正な添付ファイルとみなして警告を出すケースはあります。社内のネットワーク管理者またはセキュリティ管理者にお問い合わせください。

http://www.email-firewall.jp/products/mms.html


2 ● JULY
●40ポイント

ひょっとして、ウィルス対策や、情報漏洩対策の機能を持った Proxy を使っているとか...。

通常の HTTP Proxy だと、HTTPS で通信する場合に、ブラウザは Proxy に対して CONNECT メソッドというのを使っていて、この場合、Proxy は Web サーバとブラウザの間で、パケットの中継をするだけの動きになります。

この時 Proxy は、ブラウザと Web サーバとの間でやり取りされる暗号化されたデータを解読する事が出来ないので、Proxy 上でウィルスチェックや情報漏洩対策をやろうとすると、

という事になります。

これは、SSL/TLS の通信が第3者から傍受されない、という意味で正しいのですが、Proxy 上でのセキュリティ対策としては、抜け穴になってしまう(Proxy 上でのチェックを受けられない)ことになります。

そこで、製品によっては、クライアント側に特別な証明書を入れることで、

という事を実現するものがあります。こうすれば、あくまでも、Web サーバにとってのクライアントは Proxy になるので、Web サーバとの通信をチェックする事が可能になります。

SSL通信を解析可能なプロキシ - Security & Trust会議室

この場合、通常、ブラウザが署名確認する証明書を、Proxy が確認することになります。という事は、例えば、その Proxy が GeoTrust のルート証明書を持っていなかったり、あるいは、中間証明書を正しく扱えないと、Proxy と Web サーバの間で、証明書の署名確認に失敗することになります。

ただ、この場合、ブラウザが署名確認したわけじゃないので、通常、ブラウザが表示している警告とは別の形で警告が表示される可能性があります。大抵のブラウザはダイアログが表示されると思うのですが、ダイアログなしに、通常、ページを表示している部分に警告の文言が表示されていると、このパターンの可能性が高いです。ひょっとしたら、Proxy 側がわざと警告が出るような証明書を生成して、警告ダイアログが表示されるようになっているかもしれません。

...と、かなり想像力たくましくして、推定したので、外している可能性大ですが(^^;。

◎質問者からの返答

想像力つかっていただきありがとうございます。


3 ● t_yamo
●26ポイント

ネットワーク構成や正確な警告メッセージが不明なので特定しがたいところがありますが、リバースプロキシ構成で、証明書のCN(コモンネーム)がクライアントから見えるところにあるプロキシのFQDNではなく裏側にあるサーバ側の名前になってたりしないですかね。

http://www2.shakemid.com/fswiki/wiki.cgi?page=DeleGate+HTTPS+Rev...

◎質問者からの返答

なるほどそういったこともありえそうですね。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ