KB2661254 を適用して https で接続

せっかくなので,Web サーバを立てて,https で接続してみました.

クライアントは IE9です.サーバ証明書を検証する CA 証明書は,あらかじめ「信頼されたルート証明書機関」に入れています.

Web サーバとして,CentOS release 5.6 に Apache/2.2.3 をインストールしています.

検証するサーバ証明書を入れ替えながら,IE9 でこの Web サーバに接続していきます.

鍵長 1024 ビットの証明書

f:id:Hexa:20120822235525j:plain

$ tshark -r 1024.pcap  -R "tcp.port == 443 and ssl"
  4   0.008313 192.168.1.111 -> 192.168.1.115 SSLv2 102 Client Hello
  6   0.010462 192.168.1.115 -> 192.168.1.111 SSLv3 699 Server Hello, Certificate, Server Hello Done
  7   0.013207 192.168.1.111 -> 192.168.1.115 SSLv3 262 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
  8   0.014699 192.168.1.115 -> 192.168.1.111 SSLv3 125 Change Cipher Spec, Encrypted Handshake Message
  9   0.017449 192.168.1.111 -> 192.168.1.115 SSLv3 355 Application Data
 11   0.061129 192.168.1.115 -> 192.168.1.111 SSLv3 2974 Application Data
 13   0.065492 192.168.1.115 -> 192.168.1.111 TCP 1514 [TCP segment of a reassembled PDU]
 14   0.065561 192.168.1.115 -> 192.168.1.111 SSLv3 964 Application Data

警告が表示されることなく接続できています.

鍵長 1023 ビット

f:id:Hexa:20120823000209j:plain

$ tshark -r 1023.pcap  -R "tcp.port == 443 and ssl"
  4   0.012439 192.168.1.111 -> 192.168.1.115 SSLv2 102 Client Hello
  6   0.014799 192.168.1.115 -> 192.168.1.111 SSLv3 699 Server Hello, Certificate, Server Hello Done
  7   0.017976 192.168.1.111 -> 192.168.1.115 SSLv3 262 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
  8   0.019377 192.168.1.115 -> 192.168.1.111 SSLv3 125 Change Cipher Spec, Encrypted Handshake Message
  9   0.022489 192.168.1.111 -> 192.168.1.115 SSLv3 355 Application Data
 10   0.026200 192.168.1.115 -> 192.168.1.111 SSLv3 2974 Application Data
 11   0.026615 192.168.1.115 -> 192.168.1.111 TCP 1514 [TCP segment of a reassembled PDU]
 12   0.026681 192.168.1.115 -> 192.168.1.111 SSLv3 964 Application Data

鍵長 1024 ビット未満の証明書はブロックされませんでした.

鍵長 1017 ビット

次に,鍵長 1017 ビット のサーバ証明書を Web サーバに設定してみます.
更新プログラムとしては,ブロックされるはずですが,先日の表示の場合と同様であれば鍵長 1017 ビットでもブロックされないはずです.

f:id:Hexa:20120823003715j:plain

$ tshark -r 1017.pcap  -R "tcp.port == 443 and ssl"
  4   0.008684 192.168.1.111 -> 192.168.1.115 SSLv2 102 Client Hello
  6   0.010828 192.168.1.115 -> 192.168.1.111 SSLv3 698 Server Hello, Certificate, Server Hello Done
  7   0.026659 192.168.1.111 -> 192.168.1.115 SSLv3 262 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
  8   0.028229 192.168.1.115 -> 192.168.1.111 SSLv3 125 Change Cipher Spec, Encrypted Handshake Message
  9   0.062152 192.168.1.111 -> 192.168.1.115 SSLv3 355 Application Data
 10   0.065705 192.168.1.115 -> 192.168.1.111 SSLv3 2974 Application Data
 11   0.066035 192.168.1.115 -> 192.168.1.111 TCP 1514 [TCP segment of a reassembled PDU]
 12   0.066087 192.168.1.115 -> 192.168.1.111 SSLv3 964 Application Data

ブロックされずに接続できてしまいました.

鍵長 1016 ビット

f:id:Hexa:20120823003819j:plain

$ tshark -r 1016.pcap  -R "tcp.port == 443 and ssl"
  4   0.007439 192.168.1.111 -> 192.168.1.115 SSLv2 102 Client Hello
  6   0.009490 192.168.1.115 -> 192.168.1.111 SSLv3 696 Server Hello, Certificate, Server Hello Done
  7   0.012954 192.168.1.111 -> 192.168.1.115 SSLv3 261 Client Key Exchange, Change Cipher Spec, Finished
  8   0.014392 192.168.1.115 -> 192.168.1.111 SSLv3 125 Change Cipher Spec, Finished
 10   0.041201 192.168.1.115 -> 192.168.1.111 SSLv3 81 Alert (Level: Warning, Description: Close Notify)

鍵長 1016 ビットでブラウザに警告が表示されました.

サーバからの Change Cipher Spec, Finished を受信した後に,終了 Alert を送っています.

表示と同様に鍵長 1016 ビット以下で,該当の鍵長と判断されているのでしょうか?