• [harden-mac:0412] Re: Safari他にSSL証明書の検証が働かない問題

SSL証明書を検証しない件への対処を行うSafari Beta 2(v.74)がソフトウェアアップデート経由で公開された。

This update is recommended for all Safari users and improves how Safari validates the authenticity of websites that use SSL certificates.

ソフトウェアアップデートより

対処している問題については下記リンクを参照のこと（最期の一つは余計だが、とりあえず当日記での言及）。

• SafariなどにSSLで証明書の検証が働かないバグ[slashdot.jp]
• Problem: Multiple Web Browsers do not do not validate CN on certificates. [BugTraq ]
• Safari にSSL関連のバグ[当日記]

ただし証明書を見ることはできないので、緊急対応ということなのだろう。SSL関連のフィーチャーとしては最低限の実装（動作はDebugメニューで行うことと同じなので、初期値を引き上げただけかな？）で、今後は証明書の確認などのGUIも整えられる必要がある。
なお、今回のアップデートで警告メッセージも日本語リソースが追加されている。

SafariはこのWebサイト“www.amazone.com”の身元を証明できません。

このページ“https://www.hogettahogegoe.com/”はサーバー“www.amazone.com”に接続するのにセキュリティ保護されないので Safari で開く事ができません。この Web サイトの管理者との認証に必要な証明書を確認できません。

Safariの警告ダイアログより

ただ、この追加された日本語リソースでは何が言いたいのか全く判らない。誰だよ、翻訳したヤツは。現状の品質で日本語リソースを追加するのはまずいんじゃないかと思う。インターフェイスガイドラインに則っているかどうかというのもマカ的には気になるところだが、誤訳があるんじゃオハナシにならない。
Internet Explorerのダイアログではこんな感じ。

"www.amazone.com"へセキュリティで保護された接続を確立できませんでした。サイトのセキュリティ証明で問題が発生しました。（証明書の名前が正しくありません。）

表示、あるいは送信する情報は送受信中に他人に読まれる可能性があり、また目的の宛先に届かない可能性があります。

このページの読み込みを続行しますか？

Internet Explorerの警告ダイアログより

これだって内容としてパーフェクトかってぇと、日本語としてこなれていないとかの問題はあるけれど、SSL証明書が偽造されている場合に発生する問題（盗聴や偽造など）を伝えている。SSLという用語をハイパーリンクして参照できるように提示すれば、初めてこのダイアログを見た人でも、どういうことが起こっているのかわかりやすくなるだろう。
そういえば、Safariってhttps接続するときとか抜けるときに警告を出さないね。