パスワードを忘れた? アカウント作成
Close
12009811 story
セキュリティ

みずほ銀行のWebサイト、再びHTTPSでのアクセスが可能に 19

ストーリー by hylom
こんなことで話題になってしまうみずほ銀行 部門より
Printable is bad. 曰く、

2004年11月27日以降、みずほ銀行のWebサイトにHTTPS(SSL/TLS) で接続すると 「https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました」 というエラーメッセージが表示されるようになったことが時代に逆行しているとスラドでも話題になったが、2015年4月10日現在、再びHTTPSでアクセスできるようになったようだ(みずほ銀行のトップページ)。なお、この件について、みずほ銀行はプレスリリース等による告知を行っていないが、EV証明書の有効期間が延長されていることから、恒久的な対応であると思われる。

みずほ銀行は、邦銀で唯一インターネットバンキングでトランザクション認証を導入(2015年3月15日)している銀行であり(過去記事)、今後ともセキュリティの強化を期待したい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

みずほ銀行のWebサイト、再びHTTPSでのアクセスが可能に More

  • どうせ切れるまでの暫定的な対応なんでしょ? (スコア:2, 参考になる)

    by Anonymous Coward on 2015年04月13日 15時10分 (#2796260)

    EV証明書の有効期間が延長されていることから、恒久的な対応であると思われる。

    × 恒久的な対応であると思われる
    ○ 2015年12月31日までの期間限定の対応であると思われる

    • Re:どうせ切れるまでの暫定的な対応なんでしょ? (スコア:2, 参考になる)

      by Anonymous Coward on 2015年04月13日 17時10分 (#2796369)

      証明書の有効期限が2015年12月31日までなのはChromeのSHA-1証明書廃止予告対策でしょう。

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        SHA2にすればよくない?

        • Re: (スコア:0)

          by Anonymous Coward

          SHA-2に対応していないブラウザ(一部のガラケーとか)をサポートできなくなるのでHTTPSのサポートを終了する予定だったけど、批判が強かったので引っ張れるだけ引っ張ることにしたとすると2015年12月31日までの期間限定説も真実味を帯びてくるな

          • Re: (スコア:0)

            by Anonymous Coward

            そういやSHA-1の警告を開始したChrome 39は2014年11月リリースだった。

    • Re: (スコア:0)

      by Anonymous Coward

      タレ主さんは『HTTPSを復活させただけでなく証明書も更新しているということは、恒久的に提供する意思があるのだろう』と考えたのだろうけれど、#2744410 [srad.jp]によると1月末の時点でどのみち証明書の有効期限は切れていたようだから、証明書が更新されたからといって『恒久的な対応』とは言い切れないですね。

      とはいえ各所からの指摘を受けて認識を改めたということだとは思いますが。

      • Re: (スコア:0)

        by Anonymous Coward

        甘いな。
        だって、みずほだぜ?

  • 銀行も一年単位の予算なのかねぇ (スコア:0)

    by Anonymous Coward on 2015年04月13日 17時11分 (#2796370)

    2015年末までってことは一年のEV SSL証明書な訳ですが、サイバートラストなら1/2年のEV SSL証明書を売ってます [cybertrust.ne.jp]。それでも一年というのは予算執行の範囲なのかしら?

    ついでに言えば年末に証明書入れ替えるのマンドクサという気もするけど、年末はオンラインバンキングも止めるから問題なしなんだろうか?

    ビジネス&セキュリティに強いところに、ツッコミ取材してほしいなぁ

    • Re:銀行も一年単位の予算なのかねぇ (スコア:2, 参考になる)

      by Anonymous Coward on 2015年04月13日 17時14分 (#2796374)

      別ツリーでもコメントしましたが、ChromeのSHA-1証明書廃止予告対策だと思います。

      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      有効期間は365日だから、正確に切れる直前に発行された証明書でない限り年々前倒しされてくけどね。
      # 有効期間が380日とか395日の製品があったらすごく売れると思うんだけど。

      • Re: (スコア:0)

        by Anonymous Coward

        証明書にはnot before(期限開始日時)を指定できるから、前の証明書の期限切れちょうどに発効するようにすればいいのでは。

      • Re: (スコア:0)

        by Anonymous Coward

        日本において法人取引で入手しやすい証明機関(Verisign, GeoTrustの再販, GlobalSign, Comodo など)は
        有効期限前に購入手配すれば有効期限+1年+アルファの期間ボーナス付きで発行してくれる場合がほとんどだよ
        だから計画立てて更新している限りにおいて、ほとんどの場合、前倒しではなく後ろにずれていく。

  • 2004年11月27日以降、 ? (スコア:0)

    by Anonymous Coward on 2015年04月13日 18時58分 (#2796441)

    > 2004年11月27日以降、

    10年前の話ですか?

    • Re: (スコア:0)

      by Anonymous Coward

      安定のはいろむクオリティー

      • Re: (スコア:0)

        by Anonymous Coward

        元タレコミからそのままコピーしたミスを責めてはいけません。改悪されてもっとひどくなります

        • Re: (スコア:0)

          by Anonymous Coward

          そうだね。typoしたタレコミ人を責めるべきだねw

  • どうしてSHA-1? (スコア:0)

    by Anonymous Coward on 2015年04月13日 23時45分 (#2796600)

    一度繋がらない状態にしてしまったなら、レガシーな環境を切り捨ててSHA-2に乗り換えるいい機会だったと思うんですが。

    • Re: (スコア:0)

      by Anonymous Coward

      ガラケーの対応かしら?と思うてみたり。

      • Re: (スコア:0)

        by Anonymous Coward

        すでにChrome41でアクセスするとEV SSLの緑色+組織名のアイコンではなく、錠に黄色三角というアイコンになってるのでなんで今さらSHA-1にしたんだっていう。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson