パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施」記事へのコメント

  • www.hoyu.co.jp [ssllabs.com]
    www.bi-shin.co.jp [ssllabs.com]
    www.igaku-shoin.co.jp [ssllabs.com]

    www.attaka.or.jp [ssllabs.com]やwww.orikomi.tv [ssllabs.com]のようなhttpsをやめるという斜め上対応のサイトもあり、httpsが有効だっ

      • by Anonymous Coward
        対応してほしいなら、お問い合わせ窓口から問い合わせればいいんじゃなかと
        ネットで騒いだところで、担当者は暇じゃないので気づくことはないわけで。

        大半の企業は、文句がないのはいい証拠!、うちのサイトや製品は素晴らしい!
        としか思ってないのに、
        必死に騒いでる人はいるみたいだけど
        • by Anonymous Coward on 2020年06月16日 0時21分 (#3834046)

          私がとあるサイトに問い合わせた時には担当者の方から対応作業をすると回答があったので、問い合わせをするというのも案外有効なのかも。
          文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。

          ちなみにそのサイト、今確認したらTLS 1.2対応でしかもnon PFSなcipherが無効になっていますね。

          親コメント
          • by Anonymous Coward on 2020年06月16日 7時28分 (#3834089)

            日本の企業限定ですが、社外からの問い合わせって外部圧力になるんで非常に効果が大きいです。

            現場の担当者レベルでは気付いていても、上司や幹部が「予算がない」「今のところ問題はない」で拒絶しているような場合、
            外部からの問い合わせで物事が一気に進むのをよく見ます。

            株式公開している会社であれば、1単位株だけ買って株主として問い合わせるのが最も有効です。
            だいたいの場合、上司や幹部が青ざめた顔で「何とかならんか!?」って狼狽え始めます。

            親コメント
            • by Anonymous Coward

              「(無償で)なんとかならんか」だしなあ…
              #シラネ~ヨで一蹴したけど

          • by Anonymous Coward

            文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。

            私の経験では、それらに加えて「このままでは閲覧できなくなる」も有効のようです。

          • by Anonymous Coward

            私が該当サイトの問い合わせフォームから報告するときは、
            ・Chrome, Firefox, Safariなど主要なブラウザではTLS1.2をサポートしないウェブサイトにアクセスできなくなること
            ・貴サイトではセキュリティ上の懸念があるSSL3, TLS1.0, TLS1.1のみが有効となっており、○月以降は利用者が貴サイトに接続できなくなること
            #3833738 [srad.jp]形式のSSL Server TestのURL (そのままアクセスすると、SSL Server Testのトップページに結果が晒される)
            ・「TLS 1.0 と 1.1 が廃止予定と [fxsitecompat.dev]

            • by Anonymous Coward

              どのように対応するかはサイト側の自由ですが、TLS 1.3に対応するケースはまれですね。

              これはひどい [srad.jp]、何年前の設定か [srad.jp]などと書かれたためか(?)、TLS 1.3に対応したサイトもあります。

              • by Anonymous Coward

                もはや、企業でもレッツエンクリプトのほうが安全かもしれない。

              • by esuta (40045) on 2020年06月16日 14時12分 (#3834277)

                Let's Encrypt 使いまくり。やはり自動更新はうれしい
                ただ、時々 certbot のソフトウェア自体の更新を手動でやらんといかんのがちと。こないだの Python2,3 の時みたいに
                主要 distro についてはもっと手をかけずに動いてくれればなおうれしい

                親コメント
              • by Anonymous Coward

                認証局とTLSバージョンは全くもって無関係なんだが。

Stableって古いって意味だっけ? -- Debian初級

処理中...