マイクロソフト株式会社 Internet Explorer サポートの金 相哲です。
IE でよくお問い合わせ頂く問題の中で、SSL 接続における証明書関連のお問い合わせがあります。
今回は、簡単に SSL についての説明、SSL 通信に使用されるアルゴリズムを取り決める流れなどについてご紹介いたします。
また、SSL 接続における証明書関連のお問い合わせの中で、お問い合わせの頻度が高い内容についてご案内します。
1. SSL とは
2. SSL 通信に使用されるアルゴリズムを取り決める流れについて
3. お問い合わせの頻度が高い証明書関連の内容について
SSL (Secure Sockets Layer) とは、コンピュータどうしの通信の内容を暗号化して、情報をより安全にやり取りする為の仕組みの 1つです。
この仕組みは、クレジットカード番号などの重要な個人情報をホームページでやり取りする場合や、メールで重要なメッセージを送信する場合、離れた場所にあるコンピュータをインターネット越しに遠隔操作する場合など、様々な用途に使われます。(図.1 参考)
この SSL を使ってホーム ページ上で安全に情報をやり取りする仕組みのことを "HTTPS" といいます。
図.1
SSL (エス エス エル) とは
<http://support.microsoft.com/kb/878912/ja>
2. SSL 通信に使用されるアルゴリズムを取り決める流れについて
SSL プロトコルでは、公開キー暗号化と共通キー暗号化を組み合わせて使用します。
SSL 接続の際の SSL ハンドシェイクにおいて、IE は "Client Hello" メッセージ内に利用可能な暗号化アルゴリズムとハッシュ関数の組み合わせのリストをサーバーへ送信します。 (図.2 参考)
サーバーは "Server Hello" メッセージ内に、利用する暗号化アルゴリズムとハッシュ関数の組み合わせを IE へ送信します。 (図.3参考)
IE は サーバーから送信された暗号化アルゴリズムとハッシュ関数の組み合わせを利用することになります。
IE からサーバーへ送信する暗号化アルゴリズムとハッシュ関数の組み合わせのリストは下記の参考資料をご確認ください。
図.2 図.3
- 参考資料
---------
Cipher Suites in Schannel
<http://msdn2.microsoft.com/en-us/library/aa374757.aspx>
SSL (Secure Sockets Layer) ハンドシェイクの概要
<http://support.microsoft.com/kb/257591/ja>
3. お問い合わせの頻度が高い証明書関連の内容について
1) Vista IE7 でインポートした証明書情報が表示されない
Vista IE7 でインポートした証明書が、証明書マネージャ、または IE のコンテンツ – 証明書のダイアログから表示されない場合があります。
本現象の原因と回避方法については、下記の公開情報をご確認ください。
<http://support.microsoft.com/kb/932156>
2) ハッシュ関数が SHA-2 の証明書の対応可能な環境について
ハッシュ関数が SHA-2(SHA-224、SHA-256、SHA-384、SHA-512) の証明書は、下記の環境で対応可能です。
Windows XP の場合は Service Pack 3 の Internet Explorer 6、7、8
Windows Vista の場合は RTM 以降の Internet Explorer 7、8
Windows Server 2008 の場合は Internet Explorer 7、8
Windows Server 2003 の場合は、下記の 938397 がインストールされている環境のみで SHA-2 の証明書が対応可能です。
<http://support.microsoft.com/kb/938397/ja>
3) 有効期限の切れたクライアント証明書について
有効期限の切れたクライアント証明書と有効期限内のクライアント証明書がインストールされているIE 8 にて、クライアント証明書を必要とするサイトにアクセスすると、デジタル証明書の選択ダイアログに有効期限内のクライアント証明書のみが表示されます。
Internet Explorer 8 で有効期限切れのクライアント証明書が [デジタル証明書の選択] ダイアログに表示されない
<http://support.microsoft.com/kb/972906/ja>
4) 証明書失効リストについて
証明書の失効リストはCRL(Certificate Revocation Lists)と呼ばれます。CRLは、CA局により発行される証明書の破棄リストのことです。
利用者電子証明書の秘密鍵が漏洩した場合や秘密鍵の紛失などにより、証明書の有効性がなくなった場合は、CA局は直ちにその証明書を無効にしなければなりません。
このとき、その証明書のシリアル番号と失効日のリストをファイル化したものが CRLとなります。
CRL 自身には有効期間が設定されており、この有効期限が切れた場合に、IE にて配布ポイント (図.4 参考) へCRL を取得する為のリクエストを発行します。
しかし、インターネットへのアクセスが制限されているイントラ環境などでは、このリクエストが配布ポイントに到達せずタイムアウトする場合に、SSL サイトへアクセスする際に遅延が発生する場合があります。
※ 本設定は IE 6 ではデフォルトでオフ、7,8 ではデフォルトでオンになっています。
[2010/08/20 19:22 by 金 相哲]
上記、設定に関しては、IE7, 8 をインストールすると、違う設定になることがある、というご質問を受けましたので、下記に内容を追加しました。
ご指摘頂き、有難う御座いました。
ただし、IE のバージョンを変更した場合には、元の設定が引き継がれるようになります。例えば、XP IE6 (設定をオンに変更) に、IE7/8 をインストールすると、設定はオンのままになります。
図.4 図.5
- 参考資料
---------
デジタル証明書について
<http://support.microsoft.com/kb/195724/ja>
<http://technet.microsoft.com/ja-jp/library/cc739845(WS.10).aspx>
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。