パスワードを忘れた? アカウント作成
12009811 story
セキュリティ

みずほ銀行のWebサイト、再びHTTPSでのアクセスが可能に 19

ストーリー by hylom
こんなことで話題になってしまうみずほ銀行 部門より
Printable is bad. 曰く、

2004年11月27日以降、みずほ銀行のWebサイトにHTTPS(SSL/TLS) で接続すると 「https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました」 というエラーメッセージが表示されるようになったことが時代に逆行しているとスラドでも話題になったが、2015年4月10日現在、再びHTTPSでアクセスできるようになったようだ(みずほ銀行のトップページ)。なお、この件について、みずほ銀行はプレスリリース等による告知を行っていないが、EV証明書の有効期間が延長されていることから、恒久的な対応であると思われる。

みずほ銀行は、邦銀で唯一インターネットバンキングでトランザクション認証を導入(2015年3月15日)している銀行であり(過去記事)、今後ともセキュリティの強化を期待したい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年04月13日 15時10分 (#2796260)

    EV証明書の有効期間が延長されていることから、恒久的な対応であると思われる。

    × 恒久的な対応であると思われる
    ○ 2015年12月31日までの期間限定の対応であると思われる

    • by Anonymous Coward on 2015年04月13日 17時10分 (#2796369)

      証明書の有効期限が2015年12月31日までなのはChromeのSHA-1証明書廃止予告対策でしょう。

      親コメント
      • by Anonymous Coward

        SHA2にすればよくない?

        • by Anonymous Coward

          SHA-2に対応していないブラウザ(一部のガラケーとか)をサポートできなくなるのでHTTPSのサポートを終了する予定だったけど、批判が強かったので引っ張れるだけ引っ張ることにしたとすると2015年12月31日までの期間限定説も真実味を帯びてくるな

          • by Anonymous Coward

            そういやSHA-1の警告を開始したChrome 39は2014年11月リリースだった。

    • by Anonymous Coward

      タレ主さんは『HTTPSを復活させただけでなく証明書も更新しているということは、恒久的に提供する意思があるのだろう』と考えたのだろうけれど、#2744410 [srad.jp]によると1月末の時点でどのみち証明書の有効期限は切れていたようだから、証明書が更新されたからといって『恒久的な対応』とは言い切れないですね。

      とはいえ各所からの指摘を受けて認識を改めたということだとは思いますが。

      • by Anonymous Coward

        甘いな。
        だって、みずほだぜ?

  • by Anonymous Coward on 2015年04月13日 17時11分 (#2796370)

    2015年末までってことは一年のEV SSL証明書な訳ですが、サイバートラストなら1/2年のEV SSL証明書を売ってます [cybertrust.ne.jp]。それでも一年というのは予算執行の範囲なのかしら?

    ついでに言えば年末に証明書入れ替えるのマンドクサという気もするけど、年末はオンラインバンキングも止めるから問題なしなんだろうか?

    ビジネス&セキュリティに強いところに、ツッコミ取材してほしいなぁ

    • by Anonymous Coward on 2015年04月13日 17時14分 (#2796374)

      別ツリーでもコメントしましたが、ChromeのSHA-1証明書廃止予告対策だと思います。

      親コメント
    • by Anonymous Coward

      有効期間は365日だから、正確に切れる直前に発行された証明書でない限り年々前倒しされてくけどね。
      # 有効期間が380日とか395日の製品があったらすごく売れると思うんだけど。

      • by Anonymous Coward

        証明書にはnot before(期限開始日時)を指定できるから、前の証明書の期限切れちょうどに発効するようにすればいいのでは。

      • by Anonymous Coward

        日本において法人取引で入手しやすい証明機関(Verisign, GeoTrustの再販, GlobalSign, Comodo など)は
        有効期限前に購入手配すれば有効期限+1年+アルファの期間ボーナス付きで発行してくれる場合がほとんどだよ
        だから計画立てて更新している限りにおいて、ほとんどの場合、前倒しではなく後ろにずれていく。

  • by Anonymous Coward on 2015年04月13日 18時58分 (#2796441)

    > 2004年11月27日以降、

    10年前の話ですか?

    • by Anonymous Coward

      安定のはいろむクオリティー

      • by Anonymous Coward

        元タレコミからそのままコピーしたミスを責めてはいけません。改悪されてもっとひどくなります

        • by Anonymous Coward

          そうだね。typoしたタレコミ人を責めるべきだねw

  • by Anonymous Coward on 2015年04月13日 23時45分 (#2796600)

    一度繋がらない状態にしてしまったなら、レガシーな環境を切り捨ててSHA-2に乗り換えるいい機会だったと思うんですが。

    • by Anonymous Coward

      ガラケーの対応かしら?と思うてみたり。

      • by Anonymous Coward

        すでにChrome41でアクセスするとEV SSLの緑色+組織名のアイコンではなく、錠に黄色三角というアイコンになってるのでなんで今さらSHA-1にしたんだっていう。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...