失効した証明書を検出するようにブラウザーを構成するにはどうすればよいですか?
Heartbleedバグのコンテキストでは、誰かが盗まれた証明書を使用してMITM攻撃を試みたかどうかを検出できるようにしたいと思います。問題は、soft-failが 役に立たない であるため、ブラウザがsoft-failのみを実行するか、CRLをまったくチェックしないことです。 FirefoxではOCSP応答を必須にすることができますが、重大な欠点があります。 Heartbleedが発表されてから取り消された証明書を検出するために使用する推奨設定/プラグインは何ですか?具体的には
- 04/07より前に発行された証明書のOCSPを必須にします。たぶん Perspectives のようなものにフォールバックします。そのような拡張機能は存在しますか/開発中ですか?
- 以前にサイトにアクセスしたときにキャッシュされた証明書のCRLレコードを用意します。それは私の最初の訪問でのMTM攻撃に対する助けにはなりませんが、それ以降の訪問で失効した証明書を持つMITMに気づくでしょう。
この問題を解決するための拡張設定の他の推奨事項はありますか?この問題を解決するためにブラウザーを変更できてうれしいので、どのブラウザーにも推奨されます。
私が見つけた唯一の解決策は、FirefoxまたはInternet Explorerのいずれかを使用して、ハードフェイルを有効にすることです。
Firefoxの場合:
- [オプション]-> [詳細]-> [証明書]-> [検証]に移動します
- 「OCSPサーバー接続に失敗した場合、証明書を無効として扱う」のチェックボックスをオンにします
Internet Explorerの場合:
- FEATURE_WARN_ON_SEC_CERT_REV_FAILEDを使用してレジストリでのみ有効にすることができます。 regファイルを含むブログ投稿は here です。
Chromeの場合:
- enable のハードフェイルは不可能
Operaの場合:
- 知りません。
ハードフェイルには 不利な点 があることに注意してください。そのため、誤検知の可能性があると混乱する友人/家族に対しては有効にしないでください。
リモートサーバーへのSSLの確立時に、証明書チェーンが取得され、ホストの信頼が保証されます。チェーン内の証明書が取り消された場合、チェーンは壊れ、入力時に証明書エラー(信頼できないサイト)を受け取ります。
これが、godaddyなどの外部ルートCAを使用して、リモートサーバーのIDを確認する理由です。
ケースが内部PKIの場合、これは異なる場合があります。間違っている場合は修正してください。