証明書エラーが出るサイトはIE7では見れない?
IE7を入れて遊んでいると、https のサイトで見れないサイトが出てきた。どうやら、証明書に問題があるサイトは表示されないようだ。IE6だと警告のポップアップが表示されるのだが、IE7だと画面に下の様なエラー画面が表示される。
この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたものです。 セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。 このページを閉じて、この Web サイトの閲覧を続行しないことを推奨します。 ここをクリックしてこの Web ページを閉じる。 このサイトの閲覧を続行する (推奨されません)。
画面は、高木浩光@自宅の日記で指摘されている証明書エラーが出る某サイトをIE7で表示させたもの。
http://takagi-hiromitsu.jp/diary/20050115.html
もちろん「このサイトの閲覧を続行する」をクリックすると表示はされるのだが、下の様にアドレスバーが赤くなり、証明書エラーと表示される。
セキュリティエンジニアの困った
しかし、困った事が出てきました。私はセキュリティ関係の仕事をしていて主にWebアプリの脆弱性をチェックする仕事をしているのですが、仕事でよくBurpProxyというツールを使っています。こいつは、Proxyサーバの役割をして、リクエストを書き換えてWebアプリの挙動を調べるのに使います。
イメージとしてはこんな感じ。サイト⇔BurpProxy⇔ブラウザ
正常な証明書エラーの出ないサイトを閲覧する時も、BurpProxyを経由するのでSSL使用時にはBurpProxyの証明書を受け入れなくてはならない。当たり前だけど、証明書エラーが出るので画面キャプチャを取る時に証明書エラーの画面はお客さんに出せないよなーっと思う。
BurpProxyではてなのログインページを表示。アドレスバーが赤くなっているのが分かる。
