中央省庁の全WebサイトでSSL/TLS対応を義務化する方向 62
ストーリー by hylom
証明書買ってきて設定するだけの話なのになぜか心配になる件 部門より
証明書買ってきて設定するだけの話なのになぜか心配になる件 部門より
政府・サイバーセキュリティ戦略本部が「政府機関等の情報セキュリティ対策のための統一基準群の見直し」を行い、その一環として政府機関等の全Webサイト及び電子メールについて、通信の暗号化対応を義務付ける方針を明らかにした(資料PDF、日経新聞)。
昨年12月の日経新聞記事によると、中央省庁のWebサイトの8割弱が暗号化(SSL/TLS)に対応していないという。
悪意のあるCDN (スコア:2, 興味深い)
全てhttps化出来て一安心。といったところで、
悪意のあるCDNを使ってしまったばかりに通信を盗聴され、
情報を窃取された。改ざんされた。って事は起こらないだろうか。
よく考えているところは認証系を自ホストで、それ以外は別ドメインのCDNで、
といった事はしているかもしれませんが、
少し前に認証系のリクエストをCDNにキャッシュさせてしまい
ユーザーのセッションが混ぜこぜになるという事件がありましたよね。
ドメインは? (スコア:2)
独自ドメインは原則禁止とかは徹底しないの?
ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
ログインするサーバーか決済する時だけHTTPSとかおかしいでしょ。カートの中身に何が入っているか丸見えだし
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
カートの中身に何が入っているか丸見えだし
rakuten.co.jpとyahoo.co.jpのメール経路は平文らしいので、
https://security.srad.jp/story/15/11/17/043203/ [security.srad.jp]
カートの中身どころか購入した物や購入者・発送先情報が平文です。
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
メールはもうあきらめよう。
ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。
今更どうしようもない。
購入者や発送先はメールに書かず、注文番号だけ書いてサイトにログインして確認してもらうのが良い。
最近だと、親切なアダルト系ショッピングサイトはそうしてくれてるよ。
(家族バレ対策なのかも知れないけど……)
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
理解できるんだがなんかモヤる。
いやその、某銀行でVISAデビットカードでの引き落としが発生するとメールが飛んでくるのですが、そこに金額すら書いてないからいちいちログオンして確認しないといけないというのが…。
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:2)
URLだけ書いてあればクリック一発(ログイン情報はデバイスがおぼえている)な気がしますが、
クリックがめんどくさいという話でしょうか
ログイン情報をデバイスに記録していないのでしょうか。
前者であればURLを勝手に開くようなMUAを使えばいいんでしょうが、SPAM対策が大変だなぁ…
後者だとぱっと手の打ちようがなさそうですね
暗号化したQRコードがAA等で書いてあって、ARメガネをかけておくとそれがデコードされて読めるとか?
URLをOCRしてもいっしょか…
メールにURLが載ってないんであれば乗せてほしいですね
と、ここまで書いてSMBCデビットで同じようにメールをもらっていることを思い出しました
URLは乗ってるが、開いてもログイン直後の画面になるだけですなぁ…
ハンバーガーメニューとドロップダウンリストをたどらないとみられない?
だめな作りだなぁ…
金額もメールに載せてもらうかと思ったが設定メニューもないのかぁ
Re: (スコア:0)
> URLを勝手に開くようなMUA
そんなマルウェア自動感染機能がついたMUAとか怖すぎて使えねーよ
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
PGPかS/MIMEの公開鍵を登録しておくと、
それで暗号化して送ってくれるってのが一番いいんだけどね
未登録の場合は決済が実行されましたって内容だけで
取引の詳細は書かないようにするとか。
Re: (スコア:0)
メールはもうあきらめよう。
『全ウェブサイト及び電子メール通信の暗号化対応の義務化』なので、政府・サイバーセキュリティ戦略本部には案があるはず。
Re: (スコア:0)
範囲は行政府の提供するサービスだけでしょ、普通に考えて…
Re: (スコア:0)
行政が国民に提供するサービスの話だから、ここで使われる技術・仕様は、ネットショップがネットショップ利用者に対しても使えるのでは。
Re: (スコア:0)
市井のネットショップがその技術・仕様を使うかどうかなんて、特にこのストーリーと関係がないでしょ。
政府機関の話なんだから。
Re: (スコア:0)
メールはもうあきらめよう。
ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。
今更どうしようもない。
こんな現状を変えるソリューションなのに、民間利用しないなんてもったいない。
Re: (スコア:0)
民間利用するのも民間の自由だよ。というか、すでにできるよね。
サーバ内やメールアーカイブのデータ暗号化は、ストレージを暗号化すればクリアだよね。
メールサーバ間の暗号化通信は規格化されてるんだから、それを使えばいいよね。
今回は政府側の「対応」なんだから、対応できる外部の相手が政府機関のサーバと通信できればセキュリティは向上するわけだし、何が問題なの?
非対応な外部メールサーバとのやり取りはどうしようもないけど、それをことさらに論いたいわけ?
Re: (スコア:0)
Google透明性レポートでいつも暗号化しないドメイン上位なのに、改善する気はないのかな。
https://transparencyreport.google.com/safer-email/overview?encrypt_reg... [google.com]
地域別の上位のドメイン: 受信
差出人: yahoo.co.jp
地域別の上位のドメイン: 送信
宛先: docomo.ne.jp
宛先: ezweb.ne.jp
宛先: softbank.ne.jp
宛先: yahoo.co.jp
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
HTTPSに対応していればいいってもんでもないけどね。
三菱UFJ銀行の法人用インターネットバンク (BizStation)なんて、
IE only なだけじゃなく「TLS 1.1、1.2 の使用」のチェックを外さないと
ログインできない(win7 64bit版,IE11) っていう馬鹿みたいな仕様なんだぜ。
Re: (スコア:0)
TLS1.0しかダメって事は、三菱グループのどこかにいまだにXPとIE8で運用してる企業があるんだろ
Re: (スコア:0)
まさかとは思うけど「TLSとはなんだ? エスエスエル以外の規格は認めん」ではないよね
通信の暗号化だけならオレオレ証明書だけで十分(キリッ (スコア:1)
1年後に期限切れ証明書なサイトが大量発生してひろみちゅ案件になるところまで読めた。
Re:通信の暗号化だけならオレオレ証明書だけで十分(キリッ (スコア:2, すばらしい洞察)
情報を一方的に出すだけの企業サイトでも常時HTTPS化が進み、去年は上場企業でも数日間にわたり証明書の期限切れを起こしているサイトが数社あったので、期限切れが発生する可能性には同意する。
でも、現在のウェブブラウザの証明書エラー表示を見ると、エラーを無視して(させて)アクセスさせるのはかなり抵抗があると思う。
Re: (スコア:0)
抵抗なく無視できたら証明書の意味なくない?
Re: (スコア:0)
言葉足らずで申し訳ない。
抵抗があるので、証明書のエラーを無視するようなアナウンスはしづらいと思うということです。
Re: (スコア:0)
go/govドメインならletsencryptでも良いように思いますけどね。
Re: (スコア:0)
あの人って狂犬じゃなくて噛み付く相手を見てるんで大丈夫じゃないのん
Re: (スコア:0)
GPKIの証明書で、期限切れを待つまでもなくFirefoxとAndroidからアクセスできない第五種オレオレ証明書サイトのできあがりですよ
Re: (スコア:0)
ひろみちゅのサイトも移行に失敗して期限切れおこしてたからなぁ…
本物の政府である証明 (スコア:0)
https://www.nisc.go.jp/conference/cs/ [nisc.go.jp]
なんかモヤッとしますが
政府の証明は
GMOグローバルサインにお任せ!
ってことですね
# favion.icoとspacer.gifが404もモヤっとするが
Re:本物の政府である証明 (スコア:1)
ひろみちゅが昔言ってた [takagi-hiromitsu.jp]けど、.go.jpをちゃんと使っていれば政府機関サイトのSSL証明書はDVで十分なんだよ。政府の実在なんて誰も疑わないんだから
Re: (スコア:0)
それを避けようとしたのがGPKIなんだよね
まあMozillaからすればそんなの知ったこっちゃないんだけど
Re: (スコア:0)
GPKI をきちんと立ち上げるにしても,認証家庭で民間の監査法人の監査を受けなければならない.
それに最後は Mozillaに限らず,Apple社や alphabet社,MS社がブラウザ/OSへのバンドルするかの話になるから,GMOの証明書で良いんじゃない?
Re: (スコア:0)
認証家庭で民間の監査法人の監査を受けなければならない./p>
すまん
家族会議でおとうさんがお小遣い申請に四苦八苦
って場面が浮かんでしまい
ツッコまずに入られんかった
Re: (スコア:0)
別にバンドルしてもらえばいいじゃん。
証明書チェーンのどこで証明するかが問題なのであって、配布経路はセキュアであれば関係ないのでは。
Re: (スコア:0)
法律でGPKIのルート証明書を入れるの義務付けて、政令で公開鍵を公布して
ルート証明書をバンドルしない携帯端末やパソコン、ブラウザの使用を法律で禁止したら?
Re: (スコア:0)
まぁ素人からすりゃMozillaのポリシーなんて知ったこっちゃないしな
使えないの?やっぱちゃんとしてないブラウザなんだねって思われるだけ
Re: (スコア:0)
電話一本すりゃ済んでた話だけどな。政府側に担当者がいないんじゃ、やっぱりやらなくて正解だったってことだ。責任者がいないセキュリティほど恐ろしいものはない。日本人はもっとGPKIを潰してくれたことを感謝すべき。
Re: (スコア:0)
そうですね、AndroidはちゃんとしたOSじゃないんですね。
# Android上のChromeもMozillaの証明書ストアを使用しています
Re: (スコア:0)
韓国、トラブってる?
823665 - please remove trust of GPKIRootCA1 root certificate or sub-ca
https://bugs.chromium.org/p/chromium/issues/detail?id=823665 [chromium.org]
導入する時は大丈夫だけど (スコア:0)
「証明書の更新……?」
ってなりそう
Re: (スコア:0)
そこで自動更新できるLetsEncryptですよ。
EV証明書が不要なら、有料のサービスよりも圧倒的に便利。
いやいやいや (スコア:0)
さすがにSSLはもう捨てるべきじゃないかと。
Re: (スコア:0)
SSL/TLS って表現は暗号化通信の俗称として定着してるんだよ。
俺知ってるみたいな言い回しは逆に恥ずかしいから。
Re: (スコア:0)
別ACだが、もう使う必要がない表現だと思うわ。
自分からも変えていけよ。
Re: (スコア:0)
自分からも変えていけよ。
別ACだが、「internet」の一般名詞扱い化以降、いくつかの表記ガイドラインで「Web」が「ウェブ」に変更された。
これに合わせて、スラドへのタレコみは「ウェブ」にしているが、スラドの表記ガイドラインは違うようで「Web」に変更される。
多くの英字メディアが採用するAPスタイルガイド、固有名詞扱いだった「Internet」を一般名詞扱いの「internet」へ
https://it.srad.jp/story/16/04/07/0536233/ [it.srad.jp]
Re: (スコア:0)
別ACだが、「internet」の一般名詞扱い化以降、いくつかの表記ガイドラインで「Web」が「ウェブ」に変更された。
それなぁ発音含めてカオスですわ
「ウェブ」「ウエブ」「ウェッブ」「ウエッブ」
「ウェブサイト」(以下ウェブに同じ)
「ホームページ」「エイチピー」「エッチピー」
「ホームサイト」
「メインサイト」
「サイト」
「うちのとこ」
「あれ」
Re: (スコア:0)
それはAPスタイルガイドで"Web site"が"website"になった(2010)からでは?
Re: (スコア:0)
EV TLS とか言っても通じんだろうよ。
SSL/TLS必須でも・・・ (スコア:0)
DHパラメータの問題とHSTS設定の不足 [ssllabs.com] が指摘されてますが・・・・
Re: (スコア:0)
それ以前に「接続先」がね。。w
TLSを要求していることを確認する良い方法はある? (スコア:0)
最近、TLS1.0が排除されつつあるみたいだけど
TLS1.2とか対応している環境で見ていると
どこのサイトがそういう設定になっているのかさっぱりわからない。
MacとかFreeBSDとかLinuxとかでも
共通して、https通信で要求されている仕様を
手軽に確認する方法って無いんでしょうか?
#XP,VistaはIEを使うかぎりTLS1.0までしか使えないのだとか…