 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
米Microsoft、IE7のセキュリティ機能強化策の一部を公表 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
米Microsoftは、来年後半リリース予定の最新Webブラウザ「Internet Explorer 7」のセキュリティ強化計画を明らかにした。開発者向けサイトMSDN内のIEBlogブログで、10月22日(米国時間)、開発担当者が公開した。 IE7でHTTPSサイトに接続する場合、デフォルトのプロトコルをTransport Layer Security(TLS)v1とする。現行のIE6で採用しているSSL(Secure Sockets Layer)v2では、セキュリティが弱いため、IE7ではSSLv2は無効化する。担当者によると、ユーザーはこれまで通りにHTTPSサイトを利用でき、使い勝手を損なう変化ではなく「静かな改善」としている。なお、現在HTTPSサイトのうちSSLv2を利用しているサイトは少なく、TLSv1やSSLv3への移行も容易だとしている。 【お詫びと訂正】記事初出時、記載内容に誤りがありました。お詫びして訂正させていただきます。 また、デジタル認証も強化し、(1)URLと異なるホスト名から発行されている、(2)信用できないルートから発行されている、(3)期限切れ、(4)無効―のいずれかの場合は、アクセスを遮断し、エラーページを表示する。ユーザーは警告を無視して先に進むことも可能。 このほか、次期Windowsの「Windows Vista」でも、IE7でのHTTPS通信を強化する。たとえば、HTTPS通信でAES(Advanced Encryption Standard)などの暗号化技術を新たに採用するほか、証明書失効確認をデフォルトでオンにする。これにより、認証局(CA:Certification Authority)が後に証明書を失効化した場合、その状態を反映することができる。OCSP(Online Certificate Status Protocol)をサポートすることで実現する。 MicrosoftはWebサイト運営者に対し、SSLv3かTLSv1のサポート、ホスト名とデジタル証明書の発行者名を一致させること、TLSをサポートしている場合は標準に準拠した形で実装していることを確認するよう、呼びかけている。 ■ URL 米Microsoft http://www.microsoft.com/ IEBlogの書き込み(英文) http://blogs.msdn.com/ie/archive/2005/10/22/483795.aspx
( Infostand )
|
