Windows XPとWebサイトのセキュリティ

Windows XPがサポートを終了してから1年半を超え、さすがにもうユーザーはいないはず、と言いたいところですが、まだまだ様々な理由でご利用の方はいらっしゃいます。

Windows XPはセキュリティアップデートもない非常にリスクの高い状態が続いていますが、Webサイトのセキュリティを担うSSLの対応状況にも問題があり、クレジットカード情報などが暗号化されずにサイトに送信されてしまう危険性を持っています。

Windows XPで動作するInternet Explorerは開発時期が古く、対応していない機能がたくさんあり、今後も改良やアップデートされることはありません。

その未対応な機能の中で、SSL SNIにWindows XPが対応できていないことが大きな問題になります。

SSL SNIは一つのサーバーの中に複数のSSL証明書を持ち、同じサーバーで二つ以上のドメインでSSLを運用するための仕組みです。

Windows XP上で動作する最新のバージョンInternet Explorer 8やそれ以下のバージョンではSSL SNIを正しく認識できないため、危険なサイトとして判別してしまいます。

もちろんサーバー側の設定としては完全で、危険な状態でなくとも、Internet Explorer上ではその表示になってしまいます。

SSL SNIが正しく設定していてもアクセス先が危険と表示される以上、その他サポート継続中OSのユーザーに対して表示するページと、Windows XPユーザーのページを切り分けて表示する、あるいはWindows XPユーザーの非対応を表示するかの対応が必要になります。

本来httpsでセキュアな通信であるべきサイトが、httpの暗号化されていないページとして利用せざるを得ない状況は今後増えていくことになります。

SSLが設定されている場合は、ドメインのなりすましなども不可能になりますが、SSL SNIが利用できない以上、Windows XPに対してはなりすましが可能という状況が生まれます。

Webブラウザだけでも様々な機能が遅れをとり、またアップデート、サポート対象外となるWindowsXPからの早急な移行が必要です。