MozillaZine.jp フォーラム
https://forums.mozillazine.jp/

[解決済み] EV SSL証明書を認識しない
https://forums.mozillazine.jp/viewtopic.php?f=2&t=14446		 ページ 11
作成者:  YuKiOg [ 2013年11月28日(木) 11:59 ]
記事の件名:  [解決済み] EV SSL証明書を認識しない
添付画像の例の通りですが、EV SSL証明書を導入しているサイトを閲覧しても、ロケーションバーが緑色になりません。
また、識別情報でもDVやOV証明書のように、<検証され信頼できる運営者情報はありません>となり、Firefox自体がEV認証されている証明書を認識していないようです。
証明書を閲覧したところ、ベリサインのEV SSL証明書で間違いない様子です。

いつか覚えていないのですが、あるときまでは緑色のロケーションバーになっていました。現在では、プラグインの無効化やcert8.dbの削除、セーフモードでのアクセスを試しても、この現象は解消できません。

何らかの解決方法をご存じの方がいらっしゃいましたら、返信いただけますと幸いです。

【環境】
Windows7 Professional
Firefox 25.0.1

添付ファイル:
firefoxtrouble.png
firefoxtrouble.png [ 236.14 KiB | 表示数: 7461 回 ]
作成者:  Cai [ 2013年11月28日(木) 12:36 ]
記事の件名:  Re: EV SSL証明書を認識しない
Windows 上の Firefox 25.0.1, 26.0 Beta 8, 27.0a2, 28.0a1 および Android 4.1.2 上の Firefox 25.0.1, 26.0 Beta 6 で閲覧してみましたが、いずれにおいても EV SSL であることを示す緑色のインジケータで運営者が "The Japan Net Bank, Limited." であると表示されました。
証明書マネージャの内容は YuKiOg さんが添付されたスクリーンショットと全く同じです。
EV SSL の検証を無効化するような設定はないはずですので、ちょっと原因の見当が付きません。
新規プロファイルではどうなるでしょうか?

添付ファイル:
コメント: Firefox 26.0 Beta 8 でジャパンネット銀行ログイン画面にアクセスしたときの SSL 情報
japannetbank SSL.png
japannetbank SSL.png [ 163.72 KiB | 表示数: 7455 回 ]
作成者:  偶然的通行人 [ 2013年11月28日(木) 18:16 ]
記事の件名:  Re: EV SSL証明書を認識しない
横から失礼します。

十分ご承知とは思いますが、話の前提になる認識を共通化する意味合いで、公式サポートの関連記事を挙げておきます。
(参考)
・Web サイトへの接続が安全か確認するには | Firefox ヘルプ
https://support.mozilla.org/ja/kb/how-d ... -is-secure

YuKiOg さんと Cai さんのスクリーンショットを拝見した限りで推測できることですが、この状態が生じうるケースを、ひとつ知っています。
YuKiOg さんのケースがそれに当てはまるかどうかはわかりませんが、念のため次の箇所を確認してみてください。

Firefox の [オプション] -> [詳細] -> [証明書] -> [検証] から開く [証明書の検証] ダイアログで、
・[OCSP (オフライン証明書状態プロトコル) を利用してデジタル証明書の有効性をリアルタイムに確認する] にチェックが入り(有効)、
・[OCSP サーバに接続できなかった場合は証明書を無効として扱う] のチェックが外れている(無効)、
―― かどうか、です。この状態が Firefox のデフォルトです。

もしなんらかの事情で [OCSP (オフライン証明書状態プロトコル) を利用してデジタル証明書の有効性をリアルタイムに確認する] のチェックが外れていたりして、証明書の検証がリアルタイムにできない状態だと、運営者情報を確認できないことがあるかもしれません。
この場合、上記のヘルプ記事のとおりで、灰色の錠前アイコンになる可能性は十分ありえると思います。

しかし、上記の設定がデフォルトのままで起こっている現象なら、ちょっと見当がつきません。
当方、Windows XP SP3 上の Firefox 24.1.1 ESR 、25.0.1 で login.japannetbank.co.jp/idlogin_L.html にアクセスすると、緑色の錠前アイコンになります。

とりあえず以上です。的外れな話だったらすみません。


(余談)
YuKiOg さんと Cai さんのスクリーンショットのうち、[ページ情報] の下段にある [技術情報] の暗号強度が異なっていますね。
Cai さんのは Firefox 26.0b8 のようですから、TLS 1.1 がデフォルトで有効になっていることが関係しているのでしょうか?
もちろん、サイト側がそれに対応していることが前提だと思いますけど...。
もしそうなら、より強固な暗号強度でサイト(とくに金融関係など)を利用できるようになります。早く Firefox のデフォルトで TLS 1.1 /1.2 が有効になってほしいですね。
作成者:  pal [ 2013年11月28日(木) 19:18 ]
記事の件名:  Re: EV SSL証明書を認識しない
偶然的通行人 さんが書きました:
(余談)
YuKiOg さんと Cai さんのスクリーンショットのうち、[ページ情報] の下段にある [技術情報] の暗号強度が異なっていますね。
Cai さんのは Firefox 26.0b8 のようですから、TLS 1.1 がデフォルトで有効になっていることが関係しているのでしょうか?


Cai さんが書きました:
Windows 上の Firefox 25.0.1, 26.0 Beta 8, 27.0a2, 28.0a1 および Android 4.1.2 上の Firefox 25.0.1, 26.0 Beta 6 で閲覧してみましたが、いずれにおいても EV SSL であることを示す緑色のインジケータで運営者が "The Japan Net Bank, Limited." であると表示されました。


25.0.1でも検証なさっているようですから、TLSの件は関係ないかと。
作成者:  Cai [ 2013年11月28日(木) 22:06 ]
記事の件名:  Re: EV SSL証明書を認識しない
偶然的通行人 さんが書きました:
Firefox の [オプション] -> [詳細] -> [証明書] -> [検証] から開く [証明書の検証] ダイアログで、
・[OCSP (オフライン証明書状態プロトコル) を利用してデジタル証明書の有効性をリアルタイムに確認する] にチェックが入り(有効)、
・[OCSP サーバに接続できなかった場合は証明書を無効として扱う] のチェックが外れている(無効)、
―― かどうか、です。この状態が Firefox のデフォルトです。

もしなんらかの事情で [OCSP (オフライン証明書状態プロトコル) を利用してデジタル証明書の有効性をリアルタイムに確認する] のチェックが外れていたりして、証明書の検証がリアルタイムにできない状態だと、運営者情報を確認できないことがあるかもしれません。
この場合、上記のヘルプ記事のとおりで、灰色の錠前アイコンになる可能性は十分ありえると思います。

試してみましたが、デフォルト有効の [OCSP (オフライン証明書状態プロトコル) を利用してデジタル証明書の有効性をリアルタイムに確認する] のチェックを外すと灰色錠前になりますね。
[OCSP サーバに接続できなかった場合は証明書を無効として扱う] のチェックの有無は影響しないようです。

偶然的通行人 さんが書きました:
(余談)
YuKiOg さんと Cai さんのスクリーンショットのうち、[ページ情報] の下段にある [技術情報] の暗号強度が異なっていますね。
Cai さんのは Firefox 26.0b8 のようですから、TLS 1.1 がデフォルトで有効になっていることが関係しているのでしょうか?
もちろん、サイト側がそれに対応していることが前提だと思いますけど...。
もしそうなら、より強固な暗号強度でサイト(とくに金融関係など)を利用できるようになります。早く Firefox のデフォルトで TLS 1.1 /1.2 が有効になってほしいですね。

TLS のバージョンは関係なく、これは自分が RC4 が入った cipher suite を about:config ですべて無効にしてるからです。
(24、25 では TLS 1.0、26 では TLS 1.1、27 以降では TLS 1.2 がデフォルトで有効になります。24 で TLS 1.2 まで対応自体はしてるのでデフォルト無効のものを about:config から有効にすることは可能)
RC4 を有効にすると SSL_RSA_WITH_RC4_128_SHA になります。
と書いた後でもう一度 RC4 を無効にしてみたところ、SSL_RSA_WITH_3DES_EDE_CBC_SHA になってしまいました。
いろいろ試したところ、[OCSP サーバに接続できなかった場合は証明書を無効として扱う] をチェックしていると TLS_RSA_WITH_AES_256_CBC_SHA、チェックを外すと SSL_RSA_WITH_3DES_EDE_CBC_SHA か SSL_RSA_WITH_RC4_128_SHA になるようです。
なんでだろ?
https://www.ssllabs.com/ssltest/analyze ... bank.co.jp での検証でも Cipher Suites に AES_256_CBC がリストされてないのにブラウザごとの Handshake Simulation では AES_256_CBC や AES_128_CBC がちらほら。
サーバの実体が複数あるのかな?
作成者:  YuKiOg [ 2013年12月02日(月) 02:33 ]
記事の件名:  Re: EV SSL証明書を認識しない
OCSPのリアルタイム検証はonになっておりました。また、RC4を無効にしても変わりませんでした。

また、プロファイルを新規作成しても灰色のままで、どうしても改善できませんしたので「FireFox 設定のリセット」を行った結果、原因不明ながらもEV証明書を検証できるようになりました。

ヒントを下さった方々へ感謝いたします。
ページ 11 All times are UTC + 9 hours
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/