ＨTTPS 証明書の検証

HTTPS のポリシー設定は、無意識のうちに偽造または無効な証明書を受け入れる可能性があるエンドユーザーから責任の負担を軽減するために、サイト証明書のチェックを自動的に実行できるよう、 Gateway を有効にすることができます。これにより、偽または無効な証明書を知らずに受け入れる可能性のあるエンドユーザーから責任の重荷が取り除かれます。管理者は、適用される証明書チェック (コモンネーム)、有効期限、取り消しステータス、発行者のチェックを含む) に関するポリシーを定義できます。

証明書の検証の設定の指定方法

[証明書チェーンの検証] オプションの隣にあるチェックボックスを選択またはクリアします。このオプションでは、証明機関チェーン全体を検査できます。
[次を使用して証明書取り消しをチェックする] の隣にあるチェックボックスを選択またはクリアし、次のいずれかのオプションを選択します。

[証明書取り消しリスト (CRL)]。証明書取り消しリスト (CRL) を使用して、証明書の取り消し状態を検査できます。
[オンライン証明書状態プロトコル (OCSP)]。オンライン証明書状態プロトコル (OCSP) を使用して、証明書の取り消し状態を検査できます。
[証明書取り消しリスト (CRL) の後にオンライン証明書状態プロトコル (OCSP)]。証明機関で両方のオプションがサポートされている場合は、この設定により、これらのオプションの使用順序が定義されます。
[オンライン証明書状態プロトコル (OCSP) の後に証明書取り消しリスト (CRL)]。証明機関で両方のオプションがサポートされている場合は、この設定により、これらのオプションの使用順序が定義されます。

[CRL のない証明書または不明な OCSP 状態の証明書をブロックする] オプションの隣にあるチェックボックスを選択またはクリアします。有効にした場合は、取り消し状態を判別できない証明書を持つ Web サイト、または証明書取り消しリスト (CRL) もしくはオンライン証明書状態プロトコル (OCSP) の取得情報を提供しない証明書を持つ Web サイトへのアクセスが拒否されます。
[期限切れの証明書または目的が異なる証明書をブロックします] オプションの隣にあるチェックボックスを選択またはクリアします。このオプションでは、Web サーバーが提供する証明書を検査し、その有効期限と使用目的を確認できます。証明書の有効期限が切れていた場合、または証明書の発行目的が Web サーバーの認証でなかった場合、接続は拒否されます。
[共通名が URL と一致しない証明書をブロックします] オプションの隣にあるチェックボックスを選択またはクリアします。リモートサーバーの ID を保証するには、証明書の共通名が Web サーバーの URL と完全に一致している必要があります。
有効にした場合は、コモンネームが * ワイルドカードで始まる証明書を許可するための [ワイルドカード証明書を許可します] オプションの隣にあるチェックボックスを選択またはクリアします。この証明書を使用すると、特定ドメインのサーバーをすべて認証できます。
[認証が失敗したサイトへのアクセスを許可します] オプションの隣にあるチェックボックスを選択またはクリアします。このオプションにより、ユーザーは、証明書が無効なサイトにアクセスすることができます。
有効にした場合は、[キャッシュを迂回する証明書上限] オプションの隣にあるチェックボックスを選択またはクリアし、[タイムアウト] を入力して、この証明書が無効になったことをいつユーザーに通知するかを指定します。
[ 保存 ]をクリックします。
設定を適用します。

この設定を変更すると、ポリシーの適用に影響するため、現在の Web セッションからのユーザーの切断を伴うプロキシの再起動が必要になることがあります。

現在、OCSP レスポンダを提供している証明機関はほとんどないため、CRL チェックに加えて OCSP のみを使用することをお勧めします。

参照項目...

新しい設定の適用