RSS

「サーバー証明書の取り消しを確認する」 が Vista IE7 と XP IE7 でデフォルト値が異なる理由

18 5月

 こんばんは。
たまには真面目に・・・

Internet Explorer のオプションから詳細設定タブを開くと、"セキュリティ" の項目に、次の設定項目があります。

「サーバー証明書の取り消しを確認する」

  

これは、「インターネット サイトの証明書が取り消されていないかどうかを確認し、取り消されている証明書を無効とします。」 という動作の設定項目です。
しかし、XP SP2 にインストールした IE7 と Vista に搭載されている IE7 では、初期設定値が異なります。

  • IE7 on XP SP2 : オフ
  • IE7 on Vista : オン

これは、一見同じ機能についての設定項目を指しているように見えますが、実は利用しているプロトコルが XP と Vista で異なります。

Windows Vista では、よりパフォーマンスが向上した OCSP という証明書の失効確認のプロトコルが OS として採用されているため、この設定がデフォルト オン(有効) になっています。しかし、XP で採用されている CRL という証明書失効リストを使う方法はデフォルトで利用するには遅い (パフォーマンスが悪い) という理由から XP の IE7 には、この設定がデフォルトでは有効になっていません。 また、XP に IE7 をインストールしても、OCSP はインストールされないので、証明書の失効確認には IE7 はレガシーの CRL を使うことになります。 (By Eric Lawrence)

ふと、試したくなって、IE7 on XPSP2 でチェックを入れて https:// サイトをいくつか確認したのですが、閲覧のパフォーマンスに差を感じるほどのものを体験できたか?というと、正直そうでもなかったです。おそらくサイトの設定や環境に大きく左右されるのだと思います。

また、パフォーマンスの向上というのはスピードだけでなさそうです。
OCSP は、周期発行の CRL に比べてよりタイムリーに情報を入手することができることと、そして精度が高いことがメリットとして挙げられます。なので、スピードだけでなくチェック機能の信頼性が向上したことも、デフォルトでの利用をようやく Microsoft としてお勧めできるようになった、ということから、Vista IE7 ではよりセキュアな環境を提供するためにデフォルトでオン (有効) にした、という経緯です。

どういった利用環境で発揮するか?ということが次に疑問に思うことだと思います。実際に試したわけではありませんが、OCSP の特徴から、たとえば、取引毎に証明書を短期間に発行するような場合、生かされてくると思います。こういったシチュエーションだと、CRL ではそのタイミングが遅かったり、また失効しているはずなのにそれを短期間ではチェックできなかったりするので、今までの IE ではデフォルトで利用させることにあまり積極的ではなかったと思います。

 

広告
 
コメントする

投稿者: : 2007-05-18 投稿先 Internet Explorer

 

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

 
%d人のブロガーが「いいね」をつけました。