...pudding - diary


2015-08-27

_ [Software] IE も HSTS に対応するようになってクソな証明書サイトにアクセスできなくなった

ここ最近の Windows Update で Windows 7 の IE も HTTP Strict Transport Security (HSTS) に対応したようで、クソな証明書のサイトにアクセスできないようになりました。


従来はおかしなことになっていると「このサイトの閲覧を続行する(推奨されません)」が出て、証明書に問題があっても無理やりサイトにアクセスできてしまうという状態でした。


HSTS に対応したことにより、対応したサイトだと証明書に問題があると接続できないようになりました。ようやく平和になったね。これで主要ブラウザが全部 HSTS 対応しました。

ここで面倒なのが、企業なんかで使われるいくつかの UTM 装置の背後のネットワークでアクセスできないサイトがボロボロ出てくるという現象。

いくつかの UTM 装置は Webトラフィックの中身を検査するという機能を持っているのですが、暗号化されたトラフィックの中身は当然見れません。なのでPROXYのように振舞い、WEBサイトとUTM装置間で本来のSSL通信を行い、UTM装置とクライアントの間はUTM装置が持ってる証明書をとりあえず渡して証明書の証明書たる意味は完全に破たんするけどHTTPSというスキーマ自体は生きてるからいいだろみたいな感じの動きをします。

そういう環境だと困るんです。

対象WEBサイト用に発行された証明書じゃねえけどまず繋がせてくれ、としたいとき、HSTS 対応してしまっていると、まったく手も足も出なくなってしまう。

というわけで HSTS を無効にしたいんですけど…という時代に逆行するできればやりたくないやつを仕方なくやる方法。

こちらに書いてあります → Internet Explorer 11 adds support for HTTP Strict Transport Security standard

レジストリの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\ に、キー FEATURE_DISABLE_HSTS を作成、中に DWORD 値で名前は iexplore.exe、値は 1 とする。


64bit版 OS の場合は追加で WOW64 配下用のレジストリキーにも同様の設定を入れる。

これで HSTS の機能を無効にできます。なげかわしや。


2015年
8月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
Twitter : @moriya_jp