米MicrosoftのInternet Explorer(IE)に関するブログ「IEBlog」は,IEに取り組んでいる開発チームによって運営されている(該当サイト)。そんなわけでこのブログは,IEの未来のバージョンでわれわれが何を見ることになるかという面白い情報を含んでいる。

SSL 3.0とTLS 1.0がデフォルトで有効
 10月22日にIEの開発チームは,MicrosoftがSSL(セキュア・ソケット・レイヤー)とTLS(トランスポート層セキュリティ)に施した2~3の変更を解説した。IEの現バージョンは,SSL 2.0,SSL 3.0,TLS 1.0をサポートし,どれも有効または無効にできる。設定は,[ツール]メニューから[インターネットオプション]を選び,現れた画面で[詳細設定]タブに切り替え,[セキュリティ]セクションをスクロール・ダウンするという方法だ。

 IE 6.0ではSSL 2.0と同3.0が有効になっていて,TLS 1.0は無効になっている。少なくとも私がデフォルトでインストールした状態の設定はそうなっていた。しかし,SSL 3.0とTLS 1.0はSSL 2.0よりもっと安全性が高くなる。そこでMicrosoftは,IE 7.0ではSSL 2.0をデフォルトで無効にし,SSL 3.0とTLS 1.0がデフォルトで有効になるように決めた。だから,SSL 2.0を使っている多くのWebサイトは,IE 7.0が広く使われるようになる前に,SSL 3.0を提供し始めないと,ユーザーが接続できない問題を引き起こす可能性がある。

 もう1つ別の大きな変更は,認証書の扱い方だ。初期状態のIE 7.0は,サイトの認証書が信頼されたルートによって発行されたものでなかったり,あるいは認証書が期限切れになっていたり,無効化されていたりした場合は,そのサイトへのアクセスをブロックする。最初の2つの場合では,ブラウザはユーザーに対して,ともかく接続するかどうかを選ばせるが,その認証書が無効化されている場合はそうしない。それに加えてIE 7.0は,サイト上でそのページが安全なコンテンツと安全でないコンテンツの両方を混在している場合に,そしてユーザーが安全でないコンテンツをブロックしないと明示的に設定しているのでなければ,安全でないコンテンツは表示しない。

Vistaのセキュアな通信機能にいまから準備
 Windows Vistaも安全な通信に変化をもたらす。Vistaで私たちは,HTTPトラフィックを秘匿するために256ビットのAES(Advanced Encryption Standard)がやっと採用される。Vistaはさらに認証状態をより高速にチェックするためにOCSP(Online Certificate Status Protocol)を使う予定で,TLSにもIETF(Internet Engineering Task Force)のRFC(Request for Comments)3546で概説されたいくつかの拡張を施す(RFCの仕様)。

【11月28日に訂正】当初,Online Certificate Status Protocolの略記を「OSCP」としていましたが,これを「OCSP」に修正しました。

 Webサイトの管理者は,IE 7.0とVistaで採用されるこうした機能を認識し,互換性を維持するために必要な処置をしておく必要がある。そうしないと将来において問題に巻き込まれるのは確実だ。特にサーバー名の解析やそのほかのために仮想ドメインをホストしているシステム上で認証書を使う場合には問題になるに違いない。

 こうしたことに関して,IEBlogでより詳しく知ることができる。このブログの読者が寄せた関心のあることとコメントの長いリストも読めるし,自分のコメントを投稿することもできる。Windows Vistaで使われている暗号について詳しく知りたいのなら,(Microsoftの暗号プログラムのマネージャたちである)Tomas Palmer氏とTolga Acar氏とのインタビューのビデオがMSDNで見られる(該当サイト)。

 Windows VistaのOutlook Express(Windows Mailと名前が変更された)についての情報に関心があるのなら,Windows Mailの開発者Bryan Starbuck氏の,スパム対策機能などに関する示唆に富んだブログは必読である。Windows Mailの開発者やテスターたちがこの新しいメール・クライアントについて論じ合っているビデオ・インタビューもMSDNで見られる(該当サイト)。