アカウント名:
パスワード:
www.hoyu.co.jp [ssllabs.com]www.bi-shin.co.jp [ssllabs.com]www.igaku-shoin.co.jp [ssllabs.com]
www.attaka.or.jp [ssllabs.com]やwww.orikomi.tv [ssllabs.com]のようなhttpsをやめるという斜め上対応のサイトもあり、httpsが有効だったときにリンク張っていたサイトがはしごを外されている。
2つ挙げられているhttpsをやめるというのは私にはわかりませんが、 www.igaku-shoin.co.jp はhttpsをやめていると思います。https://srad.jp/comment/3783925 [srad.jp]
https://www.mechatoku.com/ [mechatoku.com] https://search.sato-seiyaku.co.jp/pub/search/ [sato-seiyaku.co.jp] https://www.delonghi.co.jp/ [delonghi.co.jp] https://furusato.fukutsu.co.jp/ [fukutsu.co.jp] https://azohara.niikawa.com/ [niikawa.com] https://www.city.uda.nara.jp/ [uda.nara.jp] https://www.shinko-keirin.co.jp/keirinkan/sansu/WebHelp/ [shinko-keirin.co.jp] https://career.chukyo-u.ac.jp/ [chukyo-u.ac.jp] https://www.oginoya.co.jp/ [oginoya.co.jp]
問い合わせたところで「IEをご利用ください」と言われるのが関の山。IEもLegacy Edgeも9月の月例更新で無効になるから逃げ道ないんだけどね
IEもLegacy Edgeも9月の月例更新で無効になる
kwskIEって11だよね?旧Edgeは兎も角IE11にそんな話でたの?
https://blogs.windows.com/msedgedev/2020/03/31/tls-1-0-tls-1-1-schedul... [windows.com]
IE自体が消えるのかと思ったら違った
私がとあるサイトに問い合わせた時には担当者の方から対応作業をすると回答があったので、問い合わせをするというのも案外有効なのかも。文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。
ちなみにそのサイト、今確認したらTLS 1.2対応でしかもnon PFSなcipherが無効になっていますね。
日本の企業限定ですが、社外からの問い合わせって外部圧力になるんで非常に効果が大きいです。
現場の担当者レベルでは気付いていても、上司や幹部が「予算がない」「今のところ問題はない」で拒絶しているような場合、外部からの問い合わせで物事が一気に進むのをよく見ます。
株式公開している会社であれば、1単位株だけ買って株主として問い合わせるのが最も有効です。だいたいの場合、上司や幹部が青ざめた顔で「何とかならんか!?」って狼狽え始めます。
「(無償で)なんとかならんか」だしなあ…#シラネ~ヨで一蹴したけど
文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。
私の経験では、それらに加えて「このままでは閲覧できなくなる」も有効のようです。
私が該当サイトの問い合わせフォームから報告するときは、・Chrome, Firefox, Safariなど主要なブラウザではTLS1.2をサポートしないウェブサイトにアクセスできなくなること・貴サイトではセキュリティ上の懸念があるSSL3, TLS1.0, TLS1.1のみが有効となっており、○月以降は利用者が貴サイトに接続できなくなること・#3833738 [srad.jp]形式のSSL Server TestのURL (そのままアクセスすると、SSL Server Testのトップページに結果が晒される)・「TLS 1.0 と 1.1 が廃止予定と [fxsitecompat.dev]
どのように対応するかはサイト側の自由ですが、TLS 1.3に対応するケースはまれですね。
これはひどい [srad.jp]、何年前の設定か [srad.jp]などと書かれたためか(?)、TLS 1.3に対応したサイトもあります。
もはや、企業でもレッツエンクリプトのほうが安全かもしれない。
Let's Encrypt 使いまくり。やはり自動更新はうれしいただ、時々 certbot のソフトウェア自体の更新を手動でやらんといかんのがちと。こないだの Python2,3 の時みたいに主要 distro についてはもっと手をかけずに動いてくれればなおうれしい
認証局とTLSバージョンは全くもって無関係なんだが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
繋がらなくなるサイト晒し上げ (スコア:0)
www.hoyu.co.jp [ssllabs.com]
www.bi-shin.co.jp [ssllabs.com]
www.igaku-shoin.co.jp [ssllabs.com]
www.attaka.or.jp [ssllabs.com]やwww.orikomi.tv [ssllabs.com]のようなhttpsをやめるという斜め上対応のサイトもあり、httpsが有効だったときにリンク張っていたサイトがはしごを外されている。
Re: (スコア:0)
2つ挙げられているhttpsをやめるというのは私にはわかりませんが、 www.igaku-shoin.co.jp はhttpsをやめていると思います。
https://srad.jp/comment/3783925 [srad.jp]
対応を望むサイト (スコア:0)
https://www.mechatoku.com/ [mechatoku.com]
https://search.sato-seiyaku.co.jp/pub/search/ [sato-seiyaku.co.jp]
https://www.delonghi.co.jp/ [delonghi.co.jp]
https://furusato.fukutsu.co.jp/ [fukutsu.co.jp]
https://azohara.niikawa.com/ [niikawa.com]
https://www.city.uda.nara.jp/ [uda.nara.jp]
https://www.shinko-keirin.co.jp/keirinkan/sansu/WebHelp/ [shinko-keirin.co.jp]
https://career.chukyo-u.ac.jp/ [chukyo-u.ac.jp]
https://www.oginoya.co.jp/ [oginoya.co.jp]
Re: (スコア:0)
ネットで騒いだところで、担当者は暇じゃないので気づくことはないわけで。
大半の企業は、文句がないのはいい証拠!、うちのサイトや製品は素晴らしい!
としか思ってないのに、
必死に騒いでる人はいるみたいだけど
Re: (スコア:0)
問い合わせたところで「IEをご利用ください」と言われるのが関の山。IEもLegacy Edgeも9月の月例更新で無効になるから逃げ道ないんだけどね
Re: (スコア:0)
IEもLegacy Edgeも9月の月例更新で無効になる
kwsk
IEって11だよね?
旧Edgeは兎も角IE11にそんな話でたの?
Re: (スコア:0)
https://blogs.windows.com/msedgedev/2020/03/31/tls-1-0-tls-1-1-schedul... [windows.com]
Re: (スコア:0)
IE自体が消えるのかと思ったら違った
Re: (スコア:0)
私がとあるサイトに問い合わせた時には担当者の方から対応作業をすると回答があったので、問い合わせをするというのも案外有効なのかも。
文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。
ちなみにそのサイト、今確認したらTLS 1.2対応でしかもnon PFSなcipherが無効になっていますね。
Re:対応を望むサイト (スコア:1)
日本の企業限定ですが、社外からの問い合わせって外部圧力になるんで非常に効果が大きいです。
現場の担当者レベルでは気付いていても、上司や幹部が「予算がない」「今のところ問題はない」で拒絶しているような場合、
外部からの問い合わせで物事が一気に進むのをよく見ます。
株式公開している会社であれば、1単位株だけ買って株主として問い合わせるのが最も有効です。
だいたいの場合、上司や幹部が青ざめた顔で「何とかならんか!?」って狼狽え始めます。
Re: (スコア:0)
「(無償で)なんとかならんか」だしなあ…
#シラネ~ヨで一蹴したけど
Re: (スコア:0)
文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。
私の経験では、それらに加えて「このままでは閲覧できなくなる」も有効のようです。
Re: (スコア:0)
私が該当サイトの問い合わせフォームから報告するときは、
・Chrome, Firefox, Safariなど主要なブラウザではTLS1.2をサポートしないウェブサイトにアクセスできなくなること
・貴サイトではセキュリティ上の懸念があるSSL3, TLS1.0, TLS1.1のみが有効となっており、○月以降は利用者が貴サイトに接続できなくなること
・#3833738 [srad.jp]形式のSSL Server TestのURL (そのままアクセスすると、SSL Server Testのトップページに結果が晒される)
・「TLS 1.0 と 1.1 が廃止予定と [fxsitecompat.dev]
Re: (スコア:0)
どのように対応するかはサイト側の自由ですが、TLS 1.3に対応するケースはまれですね。
これはひどい [srad.jp]、何年前の設定か [srad.jp]などと書かれたためか(?)、TLS 1.3に対応したサイトもあります。
Re: (スコア:0)
もはや、企業でもレッツエンクリプトのほうが安全かもしれない。
Re:対応を望むサイト (スコア:1)
Let's Encrypt 使いまくり。やはり自動更新はうれしい
ただ、時々 certbot のソフトウェア自体の更新を手動でやらんといかんのがちと。こないだの Python2,3 の時みたいに
主要 distro についてはもっと手をかけずに動いてくれればなおうれしい
Re: (スコア:0)
認証局とTLSバージョンは全くもって無関係なんだが。