― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 4 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2014年12月25日(木) 11:24 
お世話になります。
検索をしても同じ問い合わせがヒットしなかった為、質問致します。

viewtopic.php?f=2&t=15154&p=53917&hilit=sec_error#p53917
上記と類似する部分があると思うのですが、FireFoxの最新版に更新したところ

安全な接続ができませんでした
***への接続中にエラーが発生しました。Invailid OCSP signing certificate in OCSP response.(エラーコード:sec_error_ocsp_invalid_signing_cert)
・受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
・この問題をWebサイトの管理者に連絡してください。

と出るようになりました。

IEでの接続はできましたので、FireFoxの問題と思い検索をしていたところ、
http://www-01.ibm.com/support/docview.w ... wg21680758
上記サイトがヒットし、対応策に記載のある「security.use_mozillapkix_verification」を変える事で、サイトは正常に表示できるようになった為、SSL証明書などのセキュリティ関連というのはわかりました。
念の為、Firefoxを旧バージョンにしてみたところ接続できましたので、最新バージョン(FireFoxesr31以降)の問題と思われます。
SSL証明書の認証局は「GlobalSign nv-sa」を利用していますが、もしSSL証明書が原因であれば、翌年度以降の更新の際には、Mozilla社が許可している認証局にしたいと思います。
ただ、Mozilla社のヘルプを探しても、どの認証局であればエラーが出ないのかが見つけられません。

http://www-01.ibm.com/support/docview.w ... wg21680758に記載のある
回避策 1: サードパーティ製の SSL 証明書を購入して利用することでエラーを回避することができます。詳細に関しては以下の文書を参照してください。
には、サードパーティの認証機関 (Verisign、Entrust、Thawte など) と記載されておりますが、
この認証局にする事で、エラーは発生しなくなるのでしょうか?

それとも、認証局の問題ではなく、セキュリティソフトの問題という可能性もありますでしょうか?

_________________
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2014年12月25日(木) 12:39 
オフライン
Moderator

登録日時: 2011年4月06日(水) 10:16
記事: 1905
お住まい: Tokyo
どのサイトなのか、明示してください。

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM
Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2014年12月25日(木) 13:18 
pal さんが書きました:
どのサイトなのか、明示してください。


申し訳ありません。
一般公開しているサイトではありませんので、サイトは明示できません。
会社のサーバー内にインストールし、社員が利用する為の勤怠ソフトになります。
ただし、社外からも利用できるようにはなっております。

_________________
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0


通報する
ページトップ
  
引用付きで返信する  
投稿記事Posted: 2014年12月25日(木) 21:12 
オフライン

登録日時: 2011年7月14日(木) 22:59
記事: 547
社内運用ということで、「サイト見せられません、わかりません」になってしまうと、このフォーラムで出来ることは限られるとは思いますが…
法人サポート検討をお勧めします。

tanaka1013 さんが書きました:
IEでの接続はできましたので、FireFoxの問題と思い検索をしていたところ、
http://www-01.ibm.com/support/docview.w ... wg21680758
上記サイトがヒットし、対応策に記載のある「security.use_mozillapkix_verification」を変える事で、サイトは正常に表示できるようになった為、SSL証明書などのセキュリティ関連というのはわかりました。
念の為、Firefoxを旧バージョンにしてみたところ接続できましたので、最新バージョン(FireFoxesr31以降)の問題と思われます。
SSL証明書の認証局は「GlobalSign nv-sa」を利用していますが、もしSSL証明書が原因であれば、翌年度以降の更新の際には、Mozilla社が許可している認証局にしたいと思います。
ただ、Mozilla社のヘルプを探しても、どの認証局であればエラーが出ないのかが見つけられません。

上記のIBMのサイトをご覧になっているのであれば既にご存知とは思いますが、Firefox31以降でSSL証明書の検証器が変更されており、Mozilla::pkixが規定で有効になっています。

詳しい内容は、SecurityEngineering/mozpkix-testing - MozillaWikiとか
Exciting Updates to Certificate Verification in Gecko | Mozilla Security Blogとか
mozilla::pkix ships in Firefox! | Mozilla Security Blogなど。

上記MozillaWikiのBehavior Changesをざっと斜め読みした感じだと、単にルート証明書の有無だけではなくいろいろな変更があるようなので、一読を進めます。
それとMozillaのポリシーMozilla CA Certificate Policy — Mozillaと、
CAのリストMozilla Included CA Certificate List — Mozillaも。

既にご存じであれば蛇足ですが、IBMのサイトでも紹介されている「security.use_mozillapkix_verification」の設定は、Firefox31と32には適用可ですが、33以降は出来ないということも追記しておきます。
引用:
In Firefox 33 and later, mozilla::pkix is enabled by default, and there is no longer an about:config option to disable it.
In Firefox 31 and Firefox 32 mozilla::pkix is enabled by default, and there is an about:config option that can be used to disable and enable it. In Firefox 31 and Firefox 32 you can ensure that mozilla::pkix is enabled by doing the following:
(引用元:https://wiki.mozilla.org/SecurityEngineering/mozpkix-testing#Request_for_Testing)

_________________
Thunderbirdの基本を書いています(ずっと発展途上) とりかごとなり。
基本の操作(画像あり):バージョン確認 / セーフモード / 新規プロファイル作成


通報する
ページトップ
 プロフィール  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 4 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[60人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean