パスワードを忘れた? アカウント作成
13270570 story
暗号

一部の大手サイトでTLS 1.0無効化が始まる 27

ストーリー by headless
無効 部門より
あるAnonymous Coward 曰く、

TLS 1.0の無効化は2015年頃から叫ばれていたものの、様々な問題があり延期するサイトが多かった。しかし、とうとうTLS 1.0を無効にする大手サイトが出てくるようだ。

So-netは5月2日以降、一部サービスでTLS 1.0を無効化する。国税庁も5月13日以降、運営するサイトの多くでTLS 1.0を無効化するとのこと 。本番組織でのTLS 1.0無効化を延期していたSalesforceも7月23日に無効化を実施する。

なお、NTT Comは4月に予定していたBizストレージ ファイルシェアでのTLS 1.0の無効化を延期している。TLS 1.0の無効化は混乱なく進むだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月03日 15時30分 (#3204882)

    「2年前にIEのSSL 2.0と3.0を使用するのチェック外したのにまた設定すんの?」

    • by minet (45149) on 2017年05月03日 15時42分 (#3204885) 日記

      ちゃんと覚えている人は一般レベルを十分超えているな。
      そういう人は再度の設定変更ぐらい苦にしないだろう。

      親コメント
      • by Anonymous Coward

        今さらIE10以前を使っている(そういうふうにWindows Updateを設定できる)時点で一般レベル超えてるだろ

        • by Anonymous Coward

          うちのIE11はTLS1.0を使用するにチェックがしっかり入っておりますんですが…TLS1.0って無効化されてたんでしたっけ??

          • by Anonymous Coward on 2017年05月03日 19時24分 (#3204970)

            チェックを外す必要はない。TLS 1.1と1.2がIE 10までチェックされていなかったから、TLS 1.0無効にすると接続できなくなるという話。

            親コメント
    • by Anonymous Coward on 2017年05月04日 1時49分 (#3205077)

      以前SSL3.0/2.0無効化の時も足を引っ張りました、Andoroidとガラケー。Androidは4.2以前だとTLS1.0しかサポートしてなくて、ガラケーもほぼ全滅らしいです。Android4.2が作られたのが2012年、TLS1.2ができたのが2008年。ううむむむ。

      親コメント
    • by Anonymous Coward

      サーバ側で無効化するって話じゃないの?

      • by Anonymous Coward

        サーバ側で無効化するって話じゃないの?

        それで終わりだと思っているの?
        勉強してきてね。

    • by Anonymous Coward

      「え、まだ『トゥルー・ラブストーリー』やってるの?」

      # 偽装恋愛攻略法が現実的になってきたため「2」以降への移行をおすすめします

      • by Anonymous Coward

        それって逸般人の反応…

    • by Anonymous Coward

      その辺の値変更の為だけに、WindowsUpdate配布とか有ったような。。。

  • by Anonymous Coward on 2017年05月03日 16時04分 (#3204896)

    贋物読んで嘘が書いてあったって困らんよ。
    必要ならなにかする前にちゃんとオフラインで確認する。

  • by Anonymous Coward on 2017年05月03日 17時20分 (#3204925)

    献血ルームのあちこちに「TLS1.0非対応」の案内が貼られる事になるのだろうか?

  • by Anonymous Coward on 2017年05月04日 0時09分 (#3205061)

    って言うほどSSLのような暗号化通信って必要ですかねぇ?

    まぁ個人情報とか金銭の授受とかは分かるんですが、最近はポータルサイトのトップページも
    暗号化しだしたので、そうまでして必要なものなのか?って事をわたし気になります。

    • 暗号化してる通信としてない通信が混在すると、「暗号化されているということは何か見られて困るものが流れている」という情報が漏れてしまうので全部暗号化するんですよ。

      親コメント
    • by Anonymous Coward

      ポータルサイトになりすまされて、ウィルス配られたりしたら困るんじゃね?

    • by Anonymous Coward

      必要でしょう。フェイクニュース問題等々で情報の信頼性が重要視されている時代ですし、危険な公衆Wi-Fiの普及や経路ハイジャックの増加が続いてますから。

      • by Anonymous Coward

        フェイクニュース問題等々で情報の信頼性が重要視されている時代ですし、

        フェイクニュースって暗号化通信で防げるのか?

        危険な公衆Wi-Fiの普及や経路ハイジャックの増加が続いてますから。

        危険な公衆Wi-Fiって暗号化通信で防げるのか?

        経路ハイジャックはまぁ暗号化通信で防げるか。

        • by Anonymous Coward

          >フェイクニュースって暗号化通信で防げるのか?
          いわゆるフェイクニュース自体は防げませんが、中間者攻撃によるニュース等の情報の改竄は防げます。
          ニュースの改竄は標的型攻撃に使えるはず。

          >危険な公衆Wi-Fiって暗号化通信で防げるのか?
          大手Wi-Fiアクセスポイントに偽装して中間者攻撃を行うようなやつは防げます。

    • by Anonymous Coward

      暗号化と認証の議論がごっちゃになってる気はする。

      • by Anonymous Coward on 2017年05月04日 6時02分 (#3205099)

        まず暗号化は当たり前にしてしまいたいでしょう。
        そうなれば暗号化は考えなくなる。だって常時暗号化されているんだから。
        そうなってはじめて、ところでこの通信路どこにつながってるんだっけって気になりだす。
        そこでようやく、この証明書に嘘が書いてないって根拠はどこにあるんだよって議論ができる。
        道のりは遠いですね。

        親コメント
    • by Anonymous Coward

      今TLSが推進される理由として、PRISMに代表される盗聴・監視に対抗し、プライバシーを守るためというのもあります。この理由の下では、一部の通信だけをHTTPS (TLS)にするのでは目的を達成できないわけです。

      という回答はどうでしょうか?

      • by Anonymous Coward

        意味ありませんね。
        国家安全保障の前には、個人の権利なんてけし粒ほどの意味もないと思う人が
        多いスラドで、PRISMを理由にする意味は無いですね。

        PRISMだって、アメリカが対象であっても、国家安全保障が目的には違いない。
        アメリカはダメだけど、日本は諾しとするカタワな思想の持ち主相手には通じない考え方だけど。

  • by Anonymous Coward on 2017年05月05日 7時23分 (#3205414)

    割と最近見たサイトでも、TLS1.0を無効にすると、デザインが崩れまくったり、画像が表示されなかったりするサイトがありまして。
    (IE11のインターネットオプションで「TLS1.0を使用する」のチェック外したり、Firefoxのsecurity.tls.version.minを「2」にしてみたりで確認)
    ここに来る皆さんなら1度は見たことがあるんじゃないかなぁ、って感じのサイトなんですよ。割と技術系の会社が運営してる筈なんですけどね。

    そういうの見てると

    TLS 1.0の無効化は混乱なく進むだろうか。

    っていうのが本当に心配になってきますな。

    あ、ちなみに上記の話は「スラド -- アレゲなニュースと雑談サイト [srad.jp]」ってサイトです。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...