パスワードを忘れた? アカウント作成
12288398 story
暗号

TLS 1.0無効化における障害は? 44

ストーリー by headless
移行 部門より
あるAnonymous Coward 曰く、

ペイメント業界におけるセキュリティー基準の開発などを行うPCI SSCでは、データセキュリティー基準PCI DSS v3.1TLS 1.0の使用を非推奨としている。しかし、TLS 1.0をすべて無効化するにはさまざまな問題があることがredditで話題になっている(redditの該当スレッド)。

TLS 1.1/1.2の使用に問題のあるソフトウェアとしては、Windows 7/2008 R2のリモートデスクトップ、SharePoint 2010/2013、Microsoft SQL Server 2012/2014(更新プログラムの適用で解決)、.Net 4.0以前のアプリケーション(.Net 4.5以降でソースコード修正及び再コンパイルが必要)、RHEL5/CentOS5が挙げられている。また、TLS 1.1以降に対応するソフトウェアであっても、RC4暗号を使うFTPSサーバーのようにPCI DSS v3.1で非推奨の暗号化にしか対応していないソフトウェアの存在も指摘されている。

その他、取引先のWebサイトがTLS 1.1以降に未対応なためにTLS 1.0を無効化できないとの話や、逆に一部を除き特に問題なくTLS 1.0を無効化できたという話も出ている。皆様の所はどうだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • なんやかんや言って安全じゃないじゃないですか。
    もう止めましょうよ、古いhttpsなんか、
    http 2.0に移行して新しい世界を作りましょう。

    • by Anonymous Coward

      HTTP/2は正にTLSを使っているわけですが…

      • まあ、文面はアレとして、単純にTLS1.1以上というだけではなく、安全な暗号スイートに絞る、という意味で「HTTP/2で~」というのはわからんでもない

        # TLS1.3が策定されてれば、あーいうリスト(ホワイトリストだったかな)は不要だったらしいが、まにあわなかったからしゃーない
        # 1.3でたらそれ以降はそっちに任せるんだったか。

        --
        M-FalconSky (暑いか寒い)
        親コメント
        • ああ、ここの説明がわかりやすいんだった。

          https://lepidum.co.jp/blog/2014-12-11/HTTP2-922/ [lepidum.co.jp]

          # おそらく本題じゃないけどコメントしちゃう

          --
          M-FalconSky (暑いか寒い)
          親コメント
          • by Anonymous Coward

            9.2.2問題は「アプリケーション層からTLS層の詳細が見えないのはAPIの不十分なTLSライブラリが悪い」みたいな発言まで飛び出してほんとひどかったな。むしろよい設計のレイヤ分けというのは他の層がやっていることにできるだけ関知しないようにするものだろ。

            • そういう意味だと、安全な暗号スイートについて柔軟に禁止やら導入やらが後からできないのが、プロトコルというか実装的に微妙ってのはあるかも。

              # 論議の主軸はまっとうにそれぞれの責任を通せばよく、現状についてだけはケアはいる、で決着できててえらいな...

              --
              M-FalconSky (暑いか寒い)
              親コメント
            • by Anonymous Coward

              良いか悪いかはともかく、下位レイヤーの隠蔽を薄くして上位レイヤの自由度を上げるのは近年の流行りな気がしますね。

              • by Anonymous Coward

                とあるOpenFlow製品でL3の情報で条件文書いて、最後をデフォルト処理にしたら、ARPという謎のプロトコルの処理を忘れていて、目的の動作に出来ませんでした。
                レイヤーをまたがって動作できるのは柔軟な反面、要求される知識レベルが多くなるので色々と大変です。
                (念の為: ARPはもちろん知っていますが、IPアドレスにマッチしなかったIPパケットの処理のつもりで書いたのに他のフレームすべたが処理対象になってしまい、ちょっとレイヤーをまたがるというのは大変だなと感じた次第)

    • by Anonymous Coward

      100%の安全性が欲しいか?ならばくれてやる、愚かな人間どもよ!

      みたいなノリの星新一先生のショートが読みたいです!
      なんか無かったかな・・・

      • by Anonymous Coward

        100%の安全性が欲しいか?ならばくれてやる、愚かな人間どもよ!そう言いながら彼はLANケーブルをニッパーで切断した上USBポートをガムで塞いだのです

        • さらにディスプレイを取っ払ってそのポート埋めないと。

          親コメント
        • by Anonymous Coward

          あれ、うちの情報部門がいつのまにか書き込んでやがる。
          お前らのせいで、データをPCから取り出すために、いちいちデジカメでPC画面を撮影して別途手入力とかいう作業させられるの、気が狂いそうになるんだが。
          #それでもって、「安いソリューションです!」って威張るのやめてくれ。人件費含めたらバカ高いソリューションになってるぞ・・・

          • by Anonymous Coward

            そういう馬鹿な発言はやめてくれ!!
            「お前ら営業がバンバン稼いできてくれればいくらでも金かけて対策できるんじゃ。」
            ってことにしかならない。

            もっと、建設的になぜ必要か、費用対効果を示してくれれば、
            上の理解は早いのに、なぜかできること(メールを使うとか)は考えずに、
            馬鹿の一つ覚えでデジカメ使わないでほしいな。

            と、御社の情報部門が思っているはずなので、協力してあげてね。

            • by Anonymous Coward

              「安全は全てに優先する。費用対効果を論じるのが間違ってる」というのが上の認識なのよね。
              なのでどうしようもない。

              なお、LANポートは物理的に塞がれてるため、メールも当然使えない。
              USBポートも物理的に塞がれ、FDDドライブ等は撤去されてる。
              仕方ないのでデジカメで実験データを取り出してるのです。
              #うちがこんなことをしてる間にも、ライバル企業は効率的に業務すすめてるんだろうなあ

              • by nim (10479) on 2015年07月27日 9時22分 (#2853714)

                >「安全は全てに優先する。費用対効果を論じるのが間違ってる」

                そうすると、そもそも何も業務をしないのが一番安全なんですがそれは。

                親コメント
              • by Anonymous Coward

                どのwindowsにも.netのコンパイラは入っているはずだから
                任意のバイナリをQRコードで表示するソフトを手入力してコンパイルするのはいかがでしょう?

              • by Anonymous Coward

                ビデオキャプチャしてOCRしたらいいんじゃね

              • by Anonymous Coward

                たぶんOCRの出力をパソコンに戻す手段がない

  • by Anonymous Coward on 2015年07月25日 16時55分 (#2853135)

    金融業界の隅っこで飯食ってますが、そんな状態です。
    オフトピですが古いデバイスやソフトを使い続けたいという、顧客の強い意向もあってSHA-1証明書もまだ使い続けてます。
    #当然AC

    • by Anonymous Coward

      SSL/TLSだけじゃなく、コードサイニング証明書の方もSHA-1の終了が近づいているわけですが、大丈夫なんですかね? > 古いデバイスやソフト

      https://jp.globalsign.com/information/important/detail.php?no=1429769655 [globalsign.com]
      >コードサイニング証明書については、Windows 7 / Windows Server 2008 R2以降において、2016年1月1日以降にSHA-1によって署名されたコードの受け入れを中止する。

    • by Anonymous Coward

      「あいつらまだWindows 2000使っているんですよぉ(泣)」という声なら聴いたことがあります。

    • by Anonymous Coward

      そしてWindows10発売数日前になってから「Windows10はまだ使わないでください!」とか言っちゃう [yahoo.co.jp]わけだ。
      お前ら金融業界はWindows10RCの期間は何をしていたのかと小一時間ばかり問い詰めたい。
      まあおおむね1ヶ月程度で確認の見込みだとあるから昔よりは大分マシになったとは思うけれどもね。

      • by Anonymous Coward

        Windows 10は「随時更新」しかもEnterprise以外は「強制更新」(Proでも最大8ヵ月更新を遅らせられるだけ)おまけに各更新には機能追加が含まれる可能性があるわけだが、そういうマインドの連中にサポートの表明が可能なのか?
        まあ今どきIEとSafariしかサポートしないとか言ってるしおそらくMicrosoft Edgeをサポートする気もないのだろうな。
        ところでこの銀行Androidスマフォでは利用できるの?

      • by Anonymous Coward

        Windows 10の未完成っぷりからしてプレリリース版での動作確認で対応を宣言するのはちょっとどころではない勇気がいると思う。
        Windows 8まではRTMが出てから3ヵ月くらいは確認期間があったけど今回は半月もないし。つーか現時点でMSDNにもBuild 10074のInsider Previewまでしかないってどういうことだよ。

        • by Anonymous Coward

          Windows 10の未完成っぷりからしてプレリリース版での動作確認で対応を宣言するのはちょっとどころではない勇気がいると思う。

          対応宣言はいらない。
          プレリリース版へ対応し、リリース後にリリース版との差分で必要になった対応をしてくれればいい。
          Windows 10の動作確認をリリース以降に実施するのは、遅すぎる。

        • by Anonymous Coward

          > つーか現時点でMSDNにもBuild 10074のInsider Previewまでしかないってどういうことだよ。

          一般ユーザーはアップグレードで Windows 10 を導入することになるので、おまえらもアップグレードの人柱になって、アップグレードした環境で作業しやがれということです。

          • by Anonymous Coward

            とりあえずMSDNに無駄金払わなくてよかったと心底思った。自分の用途だとVisual Studio Community使えるし

      • by Anonymous Coward

        こんなんでChromeやFirefoxはどうやって対応してるんだろう…と思ったら最初から利用環境対象外 [aozorabank.co.jp]だった。
        スマホへの対応は一切考えていないということか。

        #あおぞら銀行のネットバンキングのためにWindows Phoneを買う人が出る…とか。

        • by Anonymous Coward

          > #あおぞら銀行のネットバンキングのためにWindows Phoneを買う人が出る…とか。

          Windows 10 Mobileで使えるのはEdgeのみ(PC版と違ってIEは入っていない)だがこの銀行にサポートできるの?

    • by Anonymous Coward

      ソフトウェア、ネットワークに対しての考えが、全体的に昭和のままだと思います。
      どうにかならんか?と請われて一度行った時、コラダメだと思って断った。。

      #あの予算は何処に消えたのやら。。

    • by Anonymous Coward

      SSL3.0すらもまだ切ってないサイトが結構あるのに

  • by Anonymous Coward on 2015年07月25日 15時22分 (#2853112)

    http://blog.livedoor.jp/k_urushima/archives/1771572.html [livedoor.jp]
    2015年6月の時点でもまだトップ20万サイトの6割程度しかTLS 1.2に対応していない。
    ところでTLS 1.2のほうがわずかながらTLS 1.1より一貫してサポート率が高いのが興味深い

  • by Anonymous Coward on 2015年07月25日 15時55分 (#2853119)

    CloudFlareは対応が素早いですね、流石です。
    PCI 3.1 and TLS 1.2
    https://support.cloudflare.com/hc/en-us/articles/205043158-PCI-3-1-and... [cloudflare.com]
    > We have implemented a "TLS 1.2-only" flag to allow sites to restrict their content to be served with TLS 1.2 protection only.
    > This functionality is currently in testing and will be rolled out to our customers in the upcoming months.

    一方、AzureとAWSはまだ対応を発表していません。
    Disable Insecure Ciphers In Azure Websites
    http://feedback.azure.com/forums/169385-web-apps-formerly-websites/sug... [azure.com]
    PCI Compliance Protocol Requirements - TLS1.0 Deprecation
    https://forums.aws.amazon.com/thread.jspa?messageID=639318 [amazon.com]

  • by Anonymous Coward on 2015年07月25日 16時38分 (#2853130)

    MicrosoftがWin7+IE8をサポート終了するまではTLS1.0をoffに出来ない。まあもうすぐだけど。

    Android4.3以前もTLS1.1以上がサポートできていないようだが
    Google的にはサポート終了済で問題なくても
    日本国内に大量に蔓延している中途半端に新しいスマートフォン勢を考えるとなかなか難しい。

    おそらく次に発生するギャップは RSA2048bitではなく3072bitや4096bit、
    あるいはRSA証明書ではなくECC証明書を使うようにしよう、となったときか、と考えている。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...