none
IE7 SSL и CRLs RRS feed

  • Вопрос

  • Столкнулис вот с какой проблемой, на наш взгляд серьезной. Совершенно
    случайно обнаружили, что при установлении соединения по HTTPS протоколу с
    установленным гачком проверять списки отзыва серверов (CRL) IE7, если не может
    получить доступ к списку отзыва (в нашем случае файла CRLа просто нет -
    ошиблись в адресе) - так вот IE7 пускает на сайт без всяких предупреждений.
    Это очень плохо на наш взгляд. Я очень удивлен, что еще нет никакого шума
    в Инете.
     
    Так ведет себя только 7-ой, 6-ой предупреждал в этом случае, что не может
    доступиться к списку отзыва и следовательно не может проверить сертификат
    сервера.
     
     
    То что IE7 поддерживает новую технологию Extended Validation (EV) это может и неплохо, но вовсе не означает, что нужно ухудшать (мягко говоря) безопасности для серверов с обычными
    сертификатами.
     
    Как нам быть - в какую рельсу стучать. Может быть что-то
    мы не вычитали, но такое должно быть на видном месте - думаю что это не так.
     
    Кто что думает или знает по этому поводу?
     
    7 марта 2007 г. 12:38

Ответы

  •  

    „In IE7 UI, the end user is not notified if a certificate revocation check is not successful.  (Note that if the revocation check indicates Revoked, there is a blocking error).

    This is a side-effect of the fact that the certificate revocation check is now enabled by default; it was off by default in IE6.

    Unfortunately, real-world experience showed that too many CRL checks fail to complete in real-world environments, and the UI warning we had was too jolting.

    If you would like to see the UI, set FEATURE_WARN_ON_SEC_CERT_REV_FAILED to 0x01 for iexplore.exe.  The user will then be notified of a revocation check failure via a yellow address bar.”

     

    Для включения этого дела нуно внести в реестр измения. Вот содержание файла:

     

    «Windows Registry Editor Version 5.00

     

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WARN_ON_SEC_CERT_REV_FAILED]

    "iexplore.exe"=dword:00000001»

     

    Ну и естественно, меня просили при распространении решения показывать дисклеймер:

     

    „IMPORTANT: Before you modify the registry, make sure to back it up and make sure that you understand how to restore the registry if a problem occurs. For information about how to back up, restore, and edit the registry please read the following article:

     

    Description of the Microsoft Windows Registry

    http://support.microsoft.com/kb/256986/EN-US

     

    WARNING: If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.”

    29 марта 2007 г. 8:21

Все ответы

  • 1) не нужно дублировать сообщения, Вас и тут прекрасно слышно =0

    2) Галочки "Check for publisher sertificate revocation" & "Check for server certificate revocation" в настройках IE стоят?

    У меня, к сожалению, нет сейчас возможности проверить такое поведение, так что не могу сказать - это общая проблема или сугубо Ваша личная =) Может чуть позже смогу.

    7 марта 2007 г. 12:58
  •  Alexander Trofimov написано:

    1) не нужно дублировать сообщения, Вас и тут прекрасно слышно =0

    Тут слышно гораздо слабее, перенесите меня лучше в ХР.

     Alexander Trofimov написано:
    2) Галочки "Check for publisher sertificate revocation" & "Check for server certificate revocation" в настройках IE стоят?

    Обижаете Александр :-)

     Alexander Trofimov написано:
    У меня, к сожалению, нет сейчас возможности проверить такое поведение, так что не могу сказать - это общая проблема или сугубо Ваша личная =) Может чуть позже смогу.

    А проверить очень просто - https://ca.sb.com.ua/certsrv/ вот вам сайт. Только поставте на время тестирования их рут, а то он красный будет:-). Потом поглядите куда там точки распространения показывают, но реально CRLов там нет:-)

    P.S. В службу поддержки Майкрософт обращались - нам ответили, чтобы ответить на наш вопрос нужно заплатить за поддержку - ответ выходит за рамки бесплатной поддержки:-)

     

    7 марта 2007 г. 13:25
  • 1) неа. Не перенесу =)

    2) Я не обижаю, я по старой привычке стараюсь устранить ошибки невнимательсноти до трехдневного исследования проблемы а не после него =)

    3) Странно, но из веб-интерфейса CRL & Delta CRL доступны. Чего-то я не допонимаю...

    12 марта 2007 г. 8:20
  • Мда... Проблема кажется подтвердилась... Я буду копать. Только хорошо бы мне напоминать изредка.
    12 марта 2007 г. 8:37
  •  

    „In IE7 UI, the end user is not notified if a certificate revocation check is not successful.  (Note that if the revocation check indicates Revoked, there is a blocking error).

    This is a side-effect of the fact that the certificate revocation check is now enabled by default; it was off by default in IE6.

    Unfortunately, real-world experience showed that too many CRL checks fail to complete in real-world environments, and the UI warning we had was too jolting.

    If you would like to see the UI, set FEATURE_WARN_ON_SEC_CERT_REV_FAILED to 0x01 for iexplore.exe.  The user will then be notified of a revocation check failure via a yellow address bar.”

     

    Для включения этого дела нуно внести в реестр измения. Вот содержание файла:

     

    «Windows Registry Editor Version 5.00

     

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WARN_ON_SEC_CERT_REV_FAILED]

    "iexplore.exe"=dword:00000001»

     

    Ну и естественно, меня просили при распространении решения показывать дисклеймер:

     

    „IMPORTANT: Before you modify the registry, make sure to back it up and make sure that you understand how to restore the registry if a problem occurs. For information about how to back up, restore, and edit the registry please read the following article:

     

    Description of the Microsoft Windows Registry

    http://support.microsoft.com/kb/256986/EN-US

     

    WARNING: If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.”

    29 марта 2007 г. 8:21
  • To: Alexander Trofimov

     

    Александр, правильно понимаю, что эта информация еще не включена в Knowledgebase?

    29 марта 2007 г. 12:16
    Модератор
  • Да, ее пока нет в кб. Обещали включить, но пока разрешили распространить as is =)

     

    30 марта 2007 г. 6:06
  • Ее нет не только в kb, а вообще нигде. Замечательный ответ и уникальная информация.
    30 марта 2007 г. 7:39
    Модератор
  • Дык... Я только попинал суппорт =) Заметил-то автор топика =)
    30 марта 2007 г. 8:09