2021年5月15日

失効したSSL証明書の扱いのブラウザ間での違い

SSL証明書が問題でエラーになるサイトをたまたま発見して、ブラウザ間で違いが出る事象を簡単に調べてみたお話
14
angel (as ㌵㌤の猫) @angel_p_57

これ、 www. ebri-nopporo. com ってサイト、(有効期限内だけど) 既に失効扱いのSSL証明書を使い続けてるのが原因っぽいか。折角新しい証明書発行されてるっぽいのに、サイト運営が入れ替えしてないってことだろうなあ。 ただ、ブラウザ間の挙動の違いが見れるので、事象としては興味深い。 twitter.com/kazu_8712/stat…

2021-05-15 11:13:56
angel (as ㌵㌤の猫) @angel_p_57

まずこれがChromeでアクセスした場合。証明書も有効期限内だし、SSL/TLS的に問題ないように見える。 pic.twitter.com/MDf0KEdRjW

2021-05-15 11:15:12
拡大
angel (as ㌵㌤の猫) @angel_p_57

ところがFirefoxでアクセスするとエラーになる。 どうも証明書に問題があるっぽいんだけど、コードの "REVOKED" ( 失効した ) に要注目。 pic.twitter.com/6CPM5ectKt

2021-05-15 11:17:01
拡大
angel (as ㌵㌤の猫) @angel_p_57

以前「FirefoxでオレオレEVSSL証明書」qiita.com/angel_p_57/ite… でも触れたことがあるけど、FirefoxはOCSPで証明書の有効性チェックをするのがデフォルトの挙動になっている。設定画面はこんな感じ。 pic.twitter.com/O11G82ZTQu

2021-05-15 11:19:40
拡大
angel (as ㌵㌤の猫) @angel_p_57

で、この設定を無効化して改めてアクセスすると、今度はエラーにならない。…非SSL混在で ! がついているけど、一応メインコンテンツは SSL/TLS でやり取りされている。 pic.twitter.com/YFytzHtxf2

2021-05-15 11:21:07
拡大
angel (as ㌵㌤の猫) @angel_p_57

ということで、証明書自体の有効期限は切れてないけど、なんらかの理由で失効して、で、ChromeはOCSPでそれをチェックしてないからエラーにならない、Firefoxだとチェックするのがデフォルトだからエラー扱いと。そういう違いが出るわけだ。

2021-05-15 11:22:14
angel (as ㌵㌤の猫) @angel_p_57

ところで、CTログを検索すると、3月から有効な証明書が発行されてるっぽくて。なので、証明書ベンダで失効手続きすると同時に新しい証明書への差し替えの案内が行ってると思うんだよね。対応してないサイト運営側のチョンボってことになると思う。 pic.twitter.com/12dlg441CR

2021-05-15 11:23:57
拡大
angel (as ㌵㌤の猫) @angel_p_57

…知ってしまった以上、お知らせするのが筋かなとも思うんだけど、サイト見ても twitter アカウントやメールアドレスがない。電話 ( 北海道局番 ) だけっぽいな。 そこまでして、って気はしないので、まあ、その、頑張って、的な。

2021-05-15 11:30:05

コメント

ham68616d sub @ham68616dsub 2021年5月16日
これでSafariやFirefoxが恨まれるのは理不尽よな。 DNSSECで検証NG扱いになった場合も同じような状況が生まれると思われてアレ(エンドユーザ側からは原因判別できないというおまけ付き)。 ちなみにSSL関連の挙動確認にはここが便利。 https://badssl.com
0