Internet Explorer 7 における HTTPS セキュリティの強化点
Eric Lawrence
Microsoft Corporation
January 31, 2006
日本語版更新日 : 2007 年 4 月 4 日
はじめに
HTTPS は、暗号化を使用してインターネット トラフィックのセキュリティを確保し、ネットワーク上での第三者による情報の読み取りや改ざんからトラフィックを保護します。HTTPS では、SSL (Secure Sockets Layer) または TLS (トランスポート層セキュリティ) プロトコルを使用してデータを保護します。
セキュリティを強化し、新機能を追加するために、Windows Internet Explorer 7 の HTTPS 実装には変更が加えられています。IE7 の新しい既定のプロトコル設定により、第三者が構成やプロトコルの脆弱性を突いて、HTTPS プロトコルを使用して転送される Web トラフィックを傍受または変更する可能性を縮小しています。また、ソーシャル エンジニアリング攻撃やフィッシング攻撃対策として、新しいエラー ページも用意されています。
この文書では、IE7 での HTTPS の変更による互換性の問題に対処する方法を説明します。
互換性の影響について
エンド ユーザーまたはネットワーク管理者
Internet Explorer のユーザーは、HTTPS セキュリティの強化により、以下のような互換性の影響を受ける可能性があります。
-
現象 : SSLv2 しか構成されていないサイトを表示すると、エラー ページが表示される。
原因 : Internet Explorer 7 では既定で SSLv2 プロトコルが無効になっています。SSLv2 プロトコルには既知のセキュリティの脆弱性があり、SSLv3 プロトコルや TLSv1 プロトコルが優先されます。
-
現象 : 弱い暗号 (40 ビットおよび 56 ビット暗号化) を使用するように構成されている HTTPS サイトを Windows Vista で表示すると、エラー メッセージが表示される。
原因 : Windows Vista の既定では、弱い暗号化は無効になっており、強い暗号のみが有効です。
-
現象 : エラーのあるセキュリティ証明書を渡す HTTPS サイトにアクセスすると、エラー ページが表示される。
原因 : セキュリティの強化とユーザー エクスペリエンスの向上を図るために、IE7 ではエラーのあるセキュリティ証明書を渡す HTTPS サイトへのアクセスをブロックします。
この変更により、IE6 で表示されていたモーダル ダイアログ ボックスが置き換えられます。
-
現象 : HTTPS コンテンツと HTTP コンテンツが混在するページを表示すると、Internet Explorer 6 以前で表示されていたモーダル ダイアログ ボックスではなく、情報バーが表示される。
原因 : セキュリティの強化とユーザー エクスペリエンスの向上を図るために、IE7 の既定では HTTPS ページでの HTTP コンテンツの表示がブロックされます。
この変更により、IE6 で表示されていたモーダル ダイアログ ボックスが置き換えられます。
-
現象 : Windows Vista で HTTPS サイトにアクセスすると、証明書の失効状態のチェックが行われ、渡された証明書が有効かどうかが確認される。
原因 : Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。
Web サイト開発者
Web サイト開発者は、HTTPS セキュリティの強化により、以下のような互換性の影響を受ける可能性があります。
-
現象 : SSLv2 しか許可しないように構成されているサイトを表示すると、エラー ページが表示される。
原因 : Internet Explorer 7 では既定で SSLv2 プロトコルが無効になっています。SSLv2 プロトコルには既知のセキュリティの脆弱性があり、SSLv3 プロトコルや TLSv1 プロトコルが優先されます。
-
現象 : 弱い暗号 (40 ビットおよび 56 ビット暗号化) を使用するように構成されている HTTPS サイトを Windows Vista で表示すると、エラー メッセージが表示される。
原因 : Windows Vista の既定では、弱い暗号化は無効になっており、強い暗号のみが有効です。
-
現象 : エラーのあるセキュリティ証明書を渡す HTTPS サイトにアクセスすると、エラー ページが表示される。
原因 : セキュリティの強化とユーザー エクスペリエンスの向上を図るために、IE7 ではエラーのあるセキュリティ証明書を渡す HTTPS サイトへのアクセスをブロックします。
この変更により、IE6 で表示されていたモーダル ダイアログ ボックスが置き換えられます。
-
現象 : HTTPS コンテンツと HTTP コンテンツが混在するページを表示すると、Internet Explorer 6 以前で表示されていたモーダル ダイアログ ボックスではなく、情報バーが表示される。
原因 : セキュリティの強化とユーザー エクスペリエンスの向上を図るために、IE7 の既定では HTTPS ページでの HTTP コンテンツの表示がブロックされます。
この変更により、IE6 で表示されていたモーダル ダイアログ ボックスが置き換えられます。
アプリケーション開発者
アプリケーション開発者は、HTTPS セキュリティの強化により、以下のような互換性の影響を受ける可能性があります。
-
現象 : SSLv2 しか許可しないように構成されている HTTPS サイトに WININET を使用して接続すると、エラーが返される。
原因 : WININET の既定では、SSLv2 は無効になっています。SSLv2 プロトコルには既知のセキュリティの脆弱性があり、SSLv3 プロトコルや TLSv1 プロトコルが優先されます。
-
現象 : Windows Vista で WININET を使用して、弱い暗号 (40 ビットおよび 56 ビット暗号化) を使用するように構成されている HTTPS サイトに接続すると、エラーが返される。
原因 : Windows Vista の既定では、弱い暗号化は無効になっており、強い暗号のみが有効です。
-
現象 : Windows Vista で WinINET を使用して、HTTPS サイトに接続すると、証明書の失効状態のチェックが行われ、渡された証明書が有効かどうかが確認される。
原因 : Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、WININET では既定で失効状態のチェックが有効になり、セキュリティが強化されます。
互換性の影響を回避する方法
エンド ユーザー
Internet Explorer 7 のユーザーは、以下の方法で、HTTPS セキュリティの強化による互換性の影響を回避できます。
-
現象 : SSLv2 しか許可しないように構成されているサイトを表示すると、エラー ページが表示される。
回避策 : インターネット コントロール パネルの [詳細設定] タブで、[セキュリティ] の [SSL 2.0 を使用する] チェック ボックスをオンにすることで、SSLv2 を有効にします。
インターネット コントロール パネルを表示するには、Internet Explorer で、[ツール] メニューの [インターネット オプション] をクリックします。
-
現象 : 弱い暗号 (40 ビットおよび 56 ビット暗号化) を使用するように構成されている HTTPS サイトを Windows Vista で表示すると、エラー メッセージが表示される。
回避策 : 推奨する回避策はありません。サイトの所有者に連絡し、強い暗号化を使用するように要請してください。
-
現象 : エラーのあるセキュリティ証明書を渡す HTTPS サイトにアクセスすると、エラー ページが表示される。
回避策 : サイトの証明書が失効している場合、回避策はありません。サイトの所有者に連絡し、証明書を更新するように要請してください。
証明書のアドレスとサイトのアドレスが一致しない場合、インターネット コントロール パネルの [詳細設定] タブで、[セキュリティ] の [証明書のアドレスの不一致について警告する] チェック ボックスをオフにすることで、この警告を無効にできます。ただし、この設定を変更することはお勧めしません。
証明書が信頼されている証明機関により署名されていない場合に、証明書の証明機関を信頼するときは、その証明機関を追加できます。不正な証明機関を信頼すると、コンピュータが危険にさらされるため、慎重に判断してください。信頼する証明機関を追加するには、証明書のエラー ページでの操作を続行し、Internet Explorer のアドレス バーにある [証明書のエラー] ボタンをクリックします。[詳細の表示] リンクをクリックします。[証明のパス] タブで、ルート証明書を選択し、[証明書の表示] ボタンをクリックします。[全般] タブで [証明書のインストール] をクリックします。
-
現象 : HTTPS コンテンツと HTTP コンテンツが混在するページを表示すると、Internet Explorer 6 以前で表示されていたモーダル ダイアログ ボックスではなく、情報バーが表示される。
回避策 : インターネット コントロール パネルの [セキュリティ] タブで、インターネットのアイコンを選択し、[レベルのカスタマイズ] をクリックします。スクロールして [その他] のセクションを表示し、[混在したコンテンツを表示する] 設定の値を調整します。
この設定を [無効にする] に変更すると、メッセージが表示されることなく、すべての HTTP コンテンツがブロックされます。
推奨しませんが、この設定を [有効にする] に変更すると、メッセージが表示されることなく、すべての HTTP コンテンツが表示されます。
-
現象 : Windows Vista で HTTPS サイトにアクセスすると、証明書の失効状態のチェックが行われ、渡された証明書が有効かどうかが確認される。
回避策 : 使用中の環境でこの機能によりパフォーマンスの問題が生じる場合は、証明書の失効状態のチェックを無効にできます。
この機能を無効にするには、インターネット コントロール パネルの [詳細設定] タブで、[セキュリティ] の [サーバー証明書の取り消しを確認する] チェック ボックスをオフにします。
ネットワーク管理者
Internet Explorer 7 を実行するシステムのネットワーク管理者は、以下の方法で、HTTPS セキュリティの強化による互換性の影響を回避できます。
-
現象 : SSLv2 しか許可しないように構成されているサイトを表示すると、エラー ページが表示される。
回避策 : インターネット コントロール パネルの [詳細設定] タブで、[セキュリティ] の [SSL 2.0 を使用する] チェック ボックスをオンにすることで、SSLv2 を有効にします。
または、IEM を使用してユーザーの詳細設定キーを制御できます。HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings の SecureProtocols に、サポートされるセキュリティ プロトコルのビットマスクとなる REG_DWORD 値を設定します。
-
SSLv2 のフラグは 8 (0x008) です。
-
SSLv3 のフラグは 32 (0x020) です。
-
TLSv1 のフラグは 128 (0x080) です。
したがって、すべてのプロトコルを有効にする場合は、この値を 0x0A8 にします。
-
現象 : 弱い暗号 (40 ビットおよび 56 ビット暗号化) を使用するように構成されている HTTPS サイトを Windows Vista で表示すると、エラー メッセージが表示される。
回避策 : 強い暗号化を使用するように、Web サーバー ソフトウェアを構成します。Web サーバーに管理権限がなければ、サーバーのオペレータに連絡します。
-
現象 : HTTPS コンテンツと HTTP コンテンツが混在するページを表示すると、Internet Explorer 6 以前で表示されていたモーダル ダイアログ ボックスではなく、情報バーが表示される。
回避策 : インターネット コントロール パネルの [セキュリティ] タブで、インターネットのアイコンを選択し、[レベルのカスタマイズ] をクリックします。スクロールして [その他] のセクションを表示し、[混在したコンテンツを表示する] 設定の値を調整します。
この設定を [無効にする] に変更すると、メッセージが表示されることなく、すべての HTTP コンテンツがブロックされます。
推奨しませんが、この設定を [有効にする] に変更すると、メッセージが表示されることなく、すべての HTTP コンテンツが表示されます。
または、グループ ポリシーを使用してこの機能を構成する場合は、GPEdit.msc を起動します。コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページ\インターネット ゾーンで、[混在したコンテンツを表示する] を選択します。ポリシーを有効にするには、[有効にする] オプション ボタンをクリックし、ドロップダウン ボックスの一覧の [有効にする] をクリックします。
-
現象 : Windows Vista で HTTPS サイトにアクセスすると、証明書の失効状態のチェックが行われ、渡された証明書が有効かどうかが確認される。
回避策 : 使用中の環境でこの機能によりパフォーマンスの問題が生じる場合は、証明書の失効状態のチェックを無効にできます。
この機能を無効にするには、インターネット コントロール パネルの [詳細設定] タブで、[セキュリティ] の [サーバー証明書の取り消しを確認する] チェック ボックスをオフにします。
または、グループ ポリシーを使用してこの機能を構成する場合は、GPEdit.msc を起動します。コンピュータの構成\管理用テンプレート\Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページ\インターネット ゾーンで、[サーバー証明書の取り消しを確認する] を選択します。[無効にする] を選択して、失効状態のチェックが実行されないようにします。
Web サイト開発者
Internet Explorer 7 を使用して参照されるサイトの Web サイト開発者は、以下の方法で、HTTPS セキュリティの強化による互換性の影響を回避できます。
-
現象 : SSLv2 しか許可しないように構成されているサイトを表示すると、エラー ページが表示される。
回避策 : 使用している Web サーバー ソフトウェアで SSLv3 以降を有効にします。
-
現象 : 弱い暗号 (40 ビットおよび 56 ビット暗号化) を使用するように構成されている HTTPS サイトを Windows Vista で表示すると、エラー メッセージが表示される。
回避策 : 使用している Web サーバー ソフトウェアで強い暗号化 (128 ビット以上) を有効にします。
-
現象 : エラーのあるセキュリティ証明書を渡す HTTPS サイトにアクセスすると、エラー ページが表示される。
回避策 : 信頼されたルート証明機関から発行された、失効していない有効なセキュリティ証明書を使用していることを確認します。
証明書のアドレスが、サイトの証明書と一致していることを確認します。複数のホスト名でアドレス指定できるサーバーの場合、これは特に重要です。
たとえば、"email.example.com" に発行された証明書は、"mailbox.example.com" には有効ではありません。この問題を解決するには、両方のホスト名に対応する証明書を購入するか、ワイルドカード証明書 (この場合は "*.example.com" を指定) を購入します。
-
現象 : HTTPS コンテンツと HTTP コンテンツが混在するページを表示すると、Internet Explorer 6 以前で表示されていたモーダル ダイアログ ボックスではなく、情報バーが表示される。
回避策 : HTTPS ページに、HTTP プロトコルによりアドレス指定されるリソースへの参照が埋め込まれていないことを確認します。
ヒント : HTTP または HTTPS のいずれでも表示可能なページがある場合は、いずれのプロトコルにも対応できるハイパーリンクを使用してリソースのアドレスを指定してください。
たとえば、イメージが 1 つ埋め込まれたページで、http://www.example.com/account.htm または https://www.example.com/account.htm のどちらでもアドレス指定できる www.example.com/account.htm というページがあるとします。
この場合は、<img src="http://www.example.com/pic.jpg"> ではなく、<img src="//www.example.com/pic.jpg"> を使用します。
HTTPS を利用して account.htm が参照される場合、pic.jpg は HTTPS 経由でダウンロードされます。HTTP を利用して account.htm が参照される場合、pic.jpg は HTTP 経由でダウンロードされます。
HTTPS セキュリティの強化の活用方法
ネットワーク管理者
ネットワーク管理者は、Internet Explorer の既定の設定を基に、ユーザーのセキュリティを強化することができます。
グループ ポリシーを使用して、[Prevent ignoring certificate errors policy] を有効にします。有効にすると、HTTPS エラー ページで、エラーのある証明書を渡す Web サイトへ接続するためのオプションが表示されません。
Eric Lawrence は、Internet Explorer チームのプログラム マネージャです。