TLS 1.0無効化における障害は? 44
ストーリー by headless
移行 部門より
移行 部門より
あるAnonymous Coward 曰く、
ペイメント業界におけるセキュリティー基準の開発などを行うPCI SSCでは、データセキュリティー基準PCI DSS v3.1でTLS 1.0の使用を非推奨としている。しかし、TLS 1.0をすべて無効化するにはさまざまな問題があることがredditで話題になっている(redditの該当スレッド)。
TLS 1.1/1.2の使用に問題のあるソフトウェアとしては、Windows 7/2008 R2のリモートデスクトップ、SharePoint 2010/2013、Microsoft SQL Server 2012/2014(更新プログラムの適用で解決)、.Net 4.0以前のアプリケーション(.Net 4.5以降でソースコード修正及び再コンパイルが必要)、RHEL5/CentOS5が挙げられている。また、TLS 1.1以降に対応するソフトウェアであっても、RC4暗号を使うFTPSサーバーのようにPCI DSS v3.1で非推奨の暗号化にしか対応していないソフトウェアの存在も指摘されている。
その他、取引先のWebサイトがTLS 1.1以降に未対応なためにTLS 1.0を無効化できないとの話や、逆に一部を除き特に問題なくTLS 1.0を無効化できたという話も出ている。皆様の所はどうだろうか。
SSL/TLSが信用できない (スコア:1)
なんやかんや言って安全じゃないじゃないですか。
もう止めましょうよ、古いhttpsなんか、
http 2.0に移行して新しい世界を作りましょう。
Re: (スコア:0)
HTTP/2は正にTLSを使っているわけですが…
Re:SSL/TLSが信用できない (スコア:1)
まあ、文面はアレとして、単純にTLS1.1以上というだけではなく、安全な暗号スイートに絞る、という意味で「HTTP/2で~」というのはわからんでもない
# TLS1.3が策定されてれば、あーいうリスト(ホワイトリストだったかな)は不要だったらしいが、まにあわなかったからしゃーない
# 1.3でたらそれ以降はそっちに任せるんだったか。
M-FalconSky (暑いか寒い)
Re:SSL/TLSが信用できない (スコア:2)
ああ、ここの説明がわかりやすいんだった。
https://lepidum.co.jp/blog/2014-12-11/HTTP2-922/ [lepidum.co.jp]
# おそらく本題じゃないけどコメントしちゃう
M-FalconSky (暑いか寒い)
Re: (スコア:0)
9.2.2問題は「アプリケーション層からTLS層の詳細が見えないのはAPIの不十分なTLSライブラリが悪い」みたいな発言まで飛び出してほんとひどかったな。むしろよい設計のレイヤ分けというのは他の層がやっていることにできるだけ関知しないようにするものだろ。
Re:SSL/TLSが信用できない (スコア:1)
そういう意味だと、安全な暗号スイートについて柔軟に禁止やら導入やらが後からできないのが、プロトコルというか実装的に微妙ってのはあるかも。
# 論議の主軸はまっとうにそれぞれの責任を通せばよく、現状についてだけはケアはいる、で決着できててえらいな...
M-FalconSky (暑いか寒い)
Re:SSL/TLSが信用できない (スコア:1)
# 補足
暗号スイートの列挙順で使う使わない/優先度設定はできるのはしってますが、そればっかりの問題でもないので、こう書いてます。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
良いか悪いかはともかく、下位レイヤーの隠蔽を薄くして上位レイヤの自由度を上げるのは近年の流行りな気がしますね。
Re: (スコア:0)
とあるOpenFlow製品でL3の情報で条件文書いて、最後をデフォルト処理にしたら、ARPという謎のプロトコルの処理を忘れていて、目的の動作に出来ませんでした。
レイヤーをまたがって動作できるのは柔軟な反面、要求される知識レベルが多くなるので色々と大変です。
(念の為: ARPはもちろん知っていますが、IPアドレスにマッチしなかったIPパケットの処理のつもりで書いたのに他のフレームすべたが処理対象になってしまい、ちょっとレイヤーをまたがるというのは大変だなと感じた次第)
Re: (スコア:0)
100%の安全性が欲しいか?ならばくれてやる、愚かな人間どもよ!
みたいなノリの星新一先生のショートが読みたいです!
なんか無かったかな・・・
Re: (スコア:0)
100%の安全性が欲しいか?ならばくれてやる、愚かな人間どもよ!そう言いながら彼はLANケーブルをニッパーで切断した上USBポートをガムで塞いだのです
Re:SSL/TLSが信用できない (スコア:1)
さらにディスプレイを取っ払ってそのポート埋めないと。
Re: (スコア:0)
あれ、うちの情報部門がいつのまにか書き込んでやがる。
お前らのせいで、データをPCから取り出すために、いちいちデジカメでPC画面を撮影して別途手入力とかいう作業させられるの、気が狂いそうになるんだが。
#それでもって、「安いソリューションです!」って威張るのやめてくれ。人件費含めたらバカ高いソリューションになってるぞ・・・
Re: (スコア:0)
そういう馬鹿な発言はやめてくれ!!
「お前ら営業がバンバン稼いできてくれればいくらでも金かけて対策できるんじゃ。」
ってことにしかならない。
もっと、建設的になぜ必要か、費用対効果を示してくれれば、
上の理解は早いのに、なぜかできること(メールを使うとか)は考えずに、
馬鹿の一つ覚えでデジカメ使わないでほしいな。
と、御社の情報部門が思っているはずなので、協力してあげてね。
Re: (スコア:0)
「安全は全てに優先する。費用対効果を論じるのが間違ってる」というのが上の認識なのよね。
なのでどうしようもない。
なお、LANポートは物理的に塞がれてるため、メールも当然使えない。
USBポートも物理的に塞がれ、FDDドライブ等は撤去されてる。
仕方ないのでデジカメで実験データを取り出してるのです。
#うちがこんなことをしてる間にも、ライバル企業は効率的に業務すすめてるんだろうなあ
Re:SSL/TLSが信用できない (スコア:1)
>「安全は全てに優先する。費用対効果を論じるのが間違ってる」
そうすると、そもそも何も業務をしないのが一番安全なんですがそれは。
Re: (スコア:0)
どのwindowsにも.netのコンパイラは入っているはずだから
任意のバイナリをQRコードで表示するソフトを手入力してコンパイルするのはいかがでしょう?
Re: (スコア:0)
ビデオキャプチャしてOCRしたらいいんじゃね
Re: (スコア:0)
たぶんOCRの出力をパソコンに戻す手段がない
下手するとまだTLS1.0への移行中 (スコア:1)
金融業界の隅っこで飯食ってますが、そんな状態です。
オフトピですが古いデバイスやソフトを使い続けたいという、顧客の強い意向もあってSHA-1証明書もまだ使い続けてます。
#当然AC
Re: (スコア:0)
SSL/TLSだけじゃなく、コードサイニング証明書の方もSHA-1の終了が近づいているわけですが、大丈夫なんですかね? > 古いデバイスやソフト
https://jp.globalsign.com/information/important/detail.php?no=1429769655 [globalsign.com]
>コードサイニング証明書については、Windows 7 / Windows Server 2008 R2以降において、2016年1月1日以降にSHA-1によって署名されたコードの受け入れを中止する。
Re: (スコア:0)
「あいつらまだWindows 2000使っているんですよぉ(泣)」という声なら聴いたことがあります。
Re: (スコア:0)
そしてWindows10発売数日前になってから「Windows10はまだ使わないでください!」とか言っちゃう [yahoo.co.jp]わけだ。
お前ら金融業界はWindows10RCの期間は何をしていたのかと小一時間ばかり問い詰めたい。
まあおおむね1ヶ月程度で確認の見込みだとあるから昔よりは大分マシになったとは思うけれどもね。
Re: (スコア:0)
Windows 10は「随時更新」しかもEnterprise以外は「強制更新」(Proでも最大8ヵ月更新を遅らせられるだけ)おまけに各更新には機能追加が含まれる可能性があるわけだが、そういうマインドの連中にサポートの表明が可能なのか?
まあ今どきIEとSafariしかサポートしないとか言ってるしおそらくMicrosoft Edgeをサポートする気もないのだろうな。
ところでこの銀行Androidスマフォでは利用できるの?
Re: (スコア:0)
Windows 10の未完成っぷりからしてプレリリース版での動作確認で対応を宣言するのはちょっとどころではない勇気がいると思う。
Windows 8まではRTMが出てから3ヵ月くらいは確認期間があったけど今回は半月もないし。つーか現時点でMSDNにもBuild 10074のInsider Previewまでしかないってどういうことだよ。
Re: (スコア:0)
Windows 10の未完成っぷりからしてプレリリース版での動作確認で対応を宣言するのはちょっとどころではない勇気がいると思う。
対応宣言はいらない。
プレリリース版へ対応し、リリース後にリリース版との差分で必要になった対応をしてくれればいい。
Windows 10の動作確認をリリース以降に実施するのは、遅すぎる。
Re:下手するとまだTLS1.0への移行中 (スコア:2)
客に何、期待してんだか、コイツ。
Re: (スコア:0)
安全なものくれって言ってるんなら、その位はしてもらわないとダメなんでは?
Re: (スコア:0)
間違った「客は神」という態度のお前のような奴が死に絶えないから
この業界がいつになってもかわらんのだ
Re:下手するとまだTLS1.0への移行中 (スコア:1)
#2853422はむしろ「客は無能」と言っているように見えるが
Re: (スコア:0)
> つーか現時点でMSDNにもBuild 10074のInsider Previewまでしかないってどういうことだよ。
一般ユーザーはアップグレードで Windows 10 を導入することになるので、おまえらもアップグレードの人柱になって、アップグレードした環境で作業しやがれということです。
Re: (スコア:0)
とりあえずMSDNに無駄金払わなくてよかったと心底思った。自分の用途だとVisual Studio Community使えるし
Re: (スコア:0)
こんなんでChromeやFirefoxはどうやって対応してるんだろう…と思ったら最初から利用環境対象外 [aozorabank.co.jp]だった。
スマホへの対応は一切考えていないということか。
#あおぞら銀行のネットバンキングのためにWindows Phoneを買う人が出る…とか。
Re: (スコア:0)
> #あおぞら銀行のネットバンキングのためにWindows Phoneを買う人が出る…とか。
Windows 10 Mobileで使えるのはEdgeのみ(PC版と違ってIEは入っていない)だがこの銀行にサポートできるの?
Re: (スコア:0)
ソフトウェア、ネットワークに対しての考えが、全体的に昭和のままだと思います。
どうにかならんか?と請われて一度行った時、コラダメだと思って断った。。
#あの予算は何処に消えたのやら。。
Re: (スコア:0)
SSL3.0すらもまだ切ってないサイトが結構あるのに
SSL Pulseの統計 (スコア:0)
http://blog.livedoor.jp/k_urushima/archives/1771572.html [livedoor.jp]
2015年6月の時点でもまだトップ20万サイトの6割程度しかTLS 1.2に対応していない。
ところでTLS 1.2のほうがわずかながらTLS 1.1より一貫してサポート率が高いのが興味深い
各クラウドサービスの現状 (スコア:0)
CloudFlareは対応が素早いですね、流石です。
PCI 3.1 and TLS 1.2
https://support.cloudflare.com/hc/en-us/articles/205043158-PCI-3-1-and... [cloudflare.com]
> We have implemented a "TLS 1.2-only" flag to allow sites to restrict their content to be served with TLS 1.2 protection only.
> This functionality is currently in testing and will be rolled out to our customers in the upcoming months.
一方、AzureとAWSはまだ対応を発表していません。
Disable Insecure Ciphers In Azure Websites
http://feedback.azure.com/forums/169385-web-apps-formerly-websites/sug... [azure.com]
PCI Compliance Protocol Requirements - TLS1.0 Deprecation
https://forums.aws.amazon.com/thread.jspa?messageID=639318 [amazon.com]
Win7+IE8とかAndroid4.3以前とか (スコア:0)
MicrosoftがWin7+IE8をサポート終了するまではTLS1.0をoffに出来ない。まあもうすぐだけど。
Android4.3以前もTLS1.1以上がサポートできていないようだが
Google的にはサポート終了済で問題なくても
日本国内に大量に蔓延している中途半端に新しいスマートフォン勢を考えるとなかなか難しい。
おそらく次に発生するギャップは RSA2048bitではなく3072bitや4096bit、
あるいはRSA証明書ではなくECC証明書を使うようにしよう、となったときか、と考えている。
Re: (スコア:0)
> MicrosoftがWin7+IE8をサポート終了するまで
2016年1月13日か。あと半年もないね。
Re:Win7+IE8とかAndroid4.3以前とか (スコア:1)
http://www.atmarkit.co.jp/ait/articles/1503/11/news134.html [atmarkit.co.jp]
その後はいっきにIE11...でいいのかな。
総合的には助かるなぁ。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
WinVista+IE9「チラッ」
Re: (スコア:0)
Win2000+IE5みたいに、みんなに無視されるんじゃないですかね。