【最大10000ポイント】当たる!!質問投稿キャンペーン!

httpsのページがIE 7で表示できません。

表示できないページは、apache version 2.2系で自分で建てたサーバーです。
オレオレ証明書に使ったopensslのversionは0.9.8e, private keyの鍵長は、
1024でも2048でもだめでした。

また、mozilla firefox 3.0では同様に証明書の警告が出ますが、
例外設定をすることで表示されることを確認しています。

IE 7の現象としては、
"この Web サイトのセキュリティ証明書には問題があります。" - (A)
と警告が出て、閲覧を続行すると
"Internet Explorer ではこのページは表示できません" - (B)
といわれます。

このとき、wiresharkでパケットのダンプを見てみると、
(A), (B)の通信が両方とも以下のようなシーケンスになっていました。
1, client -> server : tcp syn
2, server -> client : syn, ack
3, client -> server : syn
4, client -> server : client hello
5, server -> client : server hello, change cipher spec, Encrypted Handshake message
6, client -> server : change cipher spec, encrypted handshake message
7, client -> server : FIN ACK
8, server -> client : ACK
9, server -> client : encrypted alert
10, server -> client : FIN ACK
11, client -> server : RST ACK
[ client: IE 7 ], [ server: apache22 ]

7の段階でIEからFIN ACKを送っているためページを表示できないのだと思うのですが、
なぜFIN ACKをおくっているのかが分かりません。

問題を解決したいのですが、はまってしまって困っています。
プロトコル・原因の調査方法等々、何か知っていることがありましたらご教授ください。
よろしくお願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (1件)

こちらのページを見てみるといいかもしれません。


http://support.microsoft.com/kb/931850/ja

参考URL:http://support.microsoft.com/kb/931850/ja

この回答への補足

ありがとうございます。

”Microsoft Windows Small Business Server 2003 (Windows SBS) の自己署名入りの証明書をインストール”
はやっていないですが、
”URL を信頼済みサイトのセキュリティ ゾーンに追加します”
をやってみましたが、結果は変わりませんでした。

書くのを忘れていましたが、自分で建てたサーバー以外をIE7でhttps通信を行っても正しく表示されています。
過去に同じようにオレオレ証明書を作って建てたwebサーバーにhttpsでアクセスしてみたところこちらは表示できました。
証明書の問題かなと思い。差分がないか確認してみましたが、特に差は見つけられませんでした。(見落としているだけかもしれません)
また、オレオレ証明局の証明書を信頼するルートCAに登録すると、
”この Web サイトのセキュリティ証明書には問題があります。”
という警告は出なくなるので、証明書はうまくできているのではないかという気がしています。

他に何かありましたらご教授ください。

補足日時:2008/07/23 16:06
    • good
    • 0
この回答へのお礼

ありがとうございます。
自己解決しました。

証明書を表示して、証明書のパスを見てみると
”この証明機関は証明書を発行する権限がないか、エンドエンティティ証明書として使うことができません。”
とあったためオレオレ証明局の証明書に何か不備があるだろうと思い調べてみたところ、opensslでCAの証明書を作った際に、Subject TypeがEnd Entityになっていることがわかりました。
CA.sh -newcaでCAの証明書作っていたのですが、それではだめだったようです。
opensslでCAの証明書を作る際には、openssl.cnfにてbasicConstraints = CA:trueとしてやることで正しくSubeject typeをCAにできました。
CAでないものから署名を受けたserver証明書だったのでIE 7がTLSセッションでFIN ACKを送って終了していたということのようです。

お騒がせしました。

お礼日時:2008/07/23 18:05

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q特定httpsページが閲覧できない。[ページを表示できません] 難易度【高】

特定のhttpsページが見られません。
https://www.alpen-group.jp/ir/ir_inquiry_x.html
https://www.fdinet.fujifilm.co.jp/fdinet/entrance.do?asp_id=0
などです。いろいろ調べましたが、原因がわかりません。
どうしたらよいのでしょう?どなたかお助けください。

他のあらゆるhttpページや
https://hotstreet.vaio.sony.co.jp/
https://eztrade.nikko.co.jp/index.html
などのSSLページは閲覧できます。

環境:
OS Windows 98/2000
InternetExplorer5.5/6.0
NIS(Norton Internet Security)などは無し
オフィスPC。LAN接続。自社独自ファイヤーウォールあり。
しかしシステム部担当からは、とりわけSSLページを
シャットアウトしていないとの回答。

http://q.hatena.ne.jp/1054783126
http://okwave.jp/qa810558.html
http://www.panpac.co.jp/cgi-bin/ssl_info.html
などにある解決策は全て実施、しかし解決せず。
他ブラウザ(FireFox)では卒なく閲覧可能。

特定のhttpsページが見られません。
https://www.alpen-group.jp/ir/ir_inquiry_x.html
https://www.fdinet.fujifilm.co.jp/fdinet/entrance.do?asp_id=0
などです。いろいろ調べましたが、原因がわかりません。
どうしたらよいのでしょう?どなたかお助けください。

他のあらゆるhttpページや
https://hotstreet.vaio.sony.co.jp/
https://eztrade.nikko.co.jp/index.html
などのSSLページは閲覧できます。

環境:
OS Windows 98/2000
InternetExplorer5.5/6.0
NIS(Norton Internet Security)...続きを読む

Aベストアンサー

補足等ありがとうございます。
他のブラウザを使用して問題なければ、TCP/IP(DNS)設定の可能性は低いですね。。。

一応確認として、質問文最初の「https://www.alpen-group.jp/ir/ir_inquiry_x.html」を「 https://219.103.41.223/ir/ir_inquiry_x.html 」で表示させるとどうですかね?
これで表示される場合は、DNSがおかしいか、IEの何らかの設定の問題であるかと思います。

その一つとしては、IEのDLL関係とかですかね。
WinXP用ですが http://clubpc.vis.ne.jp/faq/f5.html にある「○SSLに接続するとエラーをはく。ID/Passを入れるとエラー」の「→IEのSSL関連dllを再登録してみる。」のこれをクリックして実行してみてください。
batファイルですので警告等が出るかもしれませんが、実行している内容はマイクロソフトが発表しているDLLの登録を自動化したものですので問題ありませんでした。
http://support.microsoft.com/default.aspx?scid=kb;ja;813444
1個登録するごとにメッセージボックスが出るかと思います。ただし、XP用のため1個だけエラーが出ると思いますが、そのまま実行してください。

あとは、単にDNSでIPアドレスが取得できていないのであれば、コマンドプロンプトで「nslookup」を試してみる方法もあります。
http://www.atmarkit.co.jp/fnetwork/netcom/nslookup/nslookup.html

WEB上でもnslookupが使用できるサイトもあるので、そちらを利用することもできます http://www.eastcourt-rokko.com/domain/nslookup.html

このnslookupは、DNSの名前を解決するための実行ファイルで、ホスト名を入れるとIPアドレスが返されます。ただし、プロキシサーバーなどを使用しているとそのプロキシサーバーのIPしか返ってきませんので、その際は上記URLのサイトでIPアドレスを確認するという手もあります。

あとは、最長でも1日すれば消されるはずですが、キャッシュされているDNS情報を削除してみるというのも確認してみてください。
コマンドプロンプトで「ipconfig /flushdns」と入力してEnterを押せばキャッシュが消えます。
http://www.atmarkit.co.jp/fwin2k/win2ktips/259dnsresolver/dnsresolver.html

それから、「ツール」→「インターネットオプション」→「セキュリティ」→「信頼済みサイト」→「サイト」→「次のWebサイトをゾーンに追加する」で該当のアドレスを追加してみるとかですかね。

他には、何らかのユーザーファイルを他のPCからコピーしてそのまま使用している場合などにエラーが出ることもあります。この場合は素直にOS再インストールなどの方が確実に直るようです。

いろいろ書きましたが、どうしても実機を見ることができないので的外れな回答が多くなるかもしれません。ご了承ください。

補足等ありがとうございます。
他のブラウザを使用して問題なければ、TCP/IP(DNS)設定の可能性は低いですね。。。

一応確認として、質問文最初の「https://www.alpen-group.jp/ir/ir_inquiry_x.html」を「 https://219.103.41.223/ir/ir_inquiry_x.html 」で表示させるとどうですかね?
これで表示される場合は、DNSがおかしいか、IEの何らかの設定の問題であるかと思います。

その一つとしては、IEのDLL関係とかですかね。
WinXP用ですが http://clubpc.vis.ne.jp/faq/f5.html にある「○SSLに接続す...続きを読む

QwiresharkでパケットモニタするとRetransmissionが多発しているという意味は?

現在、自分で作成したパケット送信クライアントプログラムをテストしており、3秒に1回のタイミングでインターネット上にあるサーバのグローバルipアドレスに対し、TCPパケットを発信させて受信するというテストを行っています。
しかし、3秒に一回データを送っているはずなのに、その間隔10秒とか20秒とか間隔が開いてしまう時があります。

wiresharkというパケットモニタソフトで送信側、受信側共にパケットモニタを行ってみたところ、”Retransmission”が多発しているということがわかりました。(tcp.analysis.retransmissionというフィルタ設定で検索)この現象はある時とない時があります。テストして10日ぐらい経つのですが、このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

わかる方いらっしゃいましたらご教授よろしくお願いいたします。

Aベストアンサー

簡単に言うと「トラフィック過多によるパケットの再送が多発している」です。

噛み砕いて言えば「回線が混雑していて、送信したパケットが、他の誰かが送信したパケットと衝突(コリジョンが発生)してパケットが消えた。なので、もう一度、送り直した」と言う事。

>このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

「お昼休み、終業時間の6時になると、みんな、メールをチェックしたり、個人的にインターネットを閲覧し、トラフィック過多が起き、回線が異常に混雑する」と言う事が起きていると考えられます。

解消するには以下の方法があります。
・「休み時間も、終業時間後も、プライベートでネットを使うな!」と言う「通達」を全社に出す
・社内LANを、トラフィック過多によるコリジョンが起きないよう高速で帯域のあるネットワークカード、LANハブ、ルーターに変える
・受信側と送信側を、社内LANから(電気的、アドレス的に)独立した別のLANにする

要は「混んでる時間帯なので仕方が無い」って事です。

簡単に言うと「トラフィック過多によるパケットの再送が多発している」です。

噛み砕いて言えば「回線が混雑していて、送信したパケットが、他の誰かが送信したパケットと衝突(コリジョンが発生)してパケットが消えた。なので、もう一度、送り直した」と言う事。

>このパケットが確認されるのはお昼の12時頃と夕方の6時頃が多いのですが、このことからどのようなことが起こっていると考えられますか?

「お昼休み、終業時間の6時になると、みんな、メールをチェックしたり、個人的にインターネットを...続きを読む

QFINパケット、RSTパケットが返却される理由?

アパッチのヘルスチェックにて、パケットをみました。
シーケンス番号を追っていきましたが、下記のような
通常ではない動作がありました。

<ケース1>
(1)サーバからのHTTPのGETに対して、クライアントがFIN.ACKパケットを返却する。
(2)サーバがFIN.ACKパケットをクライアントに送る。
(3)クライアントからRSTパケットが返却される。
※RSTパケット内にて、broken tcpとの記載あり

<ケース2>
(1)サーバからのFIN.ACKパケットに対して、クライアントからRST.ACKパケットが返却される。


・質問1
それぞれについて、正常な動作とはおもえないのですが、
異常でしょうか?

・質問2
FIN.ACKパケット又はRSTパケットが返却されるのはどんな場合が想定されるのでしょうか?

・質問3
FIN.ACKパケット→RST.ACKパケットは異常な動作でしょうか?

よろしくお願いします。

Aベストアンサー

おつかれさまです。

質問1
ケース1というのはおかしいですね。
サーバからのHTTPのGETというのはありえません。
GETはクライアントから送信されるものです。
言葉のアヤでGETの応答電文がサーバから送信
されている間にFINがクライアンから来るという
ことであってもおかしくないと思います。

ケース2のRSTパケットについてもおかしくありません。
よくブラウザ上で通信途中(画面が全部表示されない)
で次のページへ移動することなどありますよね。
またサーバもクライアントも、keepaliveという
機能があります。一連のやりとりが終わっても、
次の通信のために一定期間コネクションを保持する
機能です。これは意外とおせっかい機能で時間が
たつと勝手にRSTを発行したりします。

質問2
FINは一連の通信が終わった時です。
上述のkeepaliveの機能も一応決まりがあって、
httpヘッダにカウンドダウンする数字があって
もうこの通信で終わりですよって1まで来たら
FINが発行されます。
またはkeepaliveのtimeout時間が過ぎると
RSTが出ます。
他のケースとしては通信不良で再送リトライ
オーバとなった場合とか、通信不良で通信の
シーケンスが合わなくなった場合とかに
RSTが出ることはあります。

質問3
FIN→RST クライアントがFINを出してコネクションを
開放した後に、FINをサーバが返してきたら、もう
コネクションはないのでサーバ側も開放してねと
RSTを投げるケースはあるでしょうね。

とにかく、
ケース1(1)以外はよくあることです。
クライアント(PCのブラウザだと思いますが...)は
人が操作しているので、ブラウザを×するとか
F5キー押すとか、いろんなことをやるでしょう。
WindowsやIEのそのあたりの動きは結構アバウトな
作りであることは確かですが....

いかがでしょう?

おつかれさまです。

質問1
ケース1というのはおかしいですね。
サーバからのHTTPのGETというのはありえません。
GETはクライアントから送信されるものです。
言葉のアヤでGETの応答電文がサーバから送信
されている間にFINがクライアンから来るという
ことであってもおかしくないと思います。

ケース2のRSTパケットについてもおかしくありません。
よくブラウザ上で通信途中(画面が全部表示されない)
で次のページへ移動することなどありますよね。
またサーバもクライアントも、keepaliveという
機能があり...続きを読む


人気Q&Aランキング