延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 19
ストーリー by hylom
設定のご確認を 部門より
設定のご確認を 部門より
新型コロナウイルス感染拡大の影響で延期されていたTLSバージョン1.0および1.1(TLS 1.0/1.1)の無効化がついに行われるようだ。Firefoxでは、6月30日公開のFirefox 78でデフォルトでTLS 1.0/1.1の無効化が行われる(MozillaのBugzila、 Firefoxサイト互換性情報)。
HTTPSなどの暗号化通信で使われるTLSのバージョン1.0および1.1では脆弱性が発見されており安全ではないとして、2020年中に主要WebブラウザではTLS 1.0/1.1のサポートが廃止される方針だった
Firefoxだけでなく、Google Chromeの次期バージョンであるChrome 84でもTLS 1.0/1.1のサポートが削除される予定(窓の杜)。
繋がらなくなるサイト晒し上げ (スコア:0)
www.hoyu.co.jp [ssllabs.com]
www.bi-shin.co.jp [ssllabs.com]
www.igaku-shoin.co.jp [ssllabs.com]
www.attaka.or.jp [ssllabs.com]やwww.orikomi.tv [ssllabs.com]のようなhttpsをやめるという斜め上対応のサイトもあり、httpsが有効だったときにリンク張っていたサイトがはしごを外されている。
Re: (スコア:0)
2つ挙げられているhttpsをやめるというのは私にはわかりませんが、 www.igaku-shoin.co.jp はhttpsをやめていると思います。
https://srad.jp/comment/3783925 [srad.jp]
対応を望むサイト (スコア:0)
https://www.mechatoku.com/ [mechatoku.com]
https://search.sato-seiyaku.co.jp/pub/search/ [sato-seiyaku.co.jp]
https://www.delonghi.co.jp/ [delonghi.co.jp]
https://furusato.fukutsu.co.jp/ [fukutsu.co.jp]
https://azohara.niikawa.com/ [niikawa.com]
https://www.city.uda.nara.jp/ [uda.nara.jp]
https://www.shinko-keirin.co.jp/keirinkan/sansu/WebHelp/ [shinko-keirin.co.jp]
https://career.chukyo-u.ac.jp/ [chukyo-u.ac.jp]
https://www.oginoya.co.jp/ [oginoya.co.jp]
Re: (スコア:0)
ネットで騒いだところで、担当者は暇じゃないので気づくことはないわけで。
大半の企業は、文句がないのはいい証拠!、うちのサイトや製品は素晴らしい!
としか思ってないのに、
必死に騒いでる人はいるみたいだけど
Re: (スコア:0)
問い合わせたところで「IEをご利用ください」と言われるのが関の山。IEもLegacy Edgeも9月の月例更新で無効になるから逃げ道ないんだけどね
Re: (スコア:0)
IEもLegacy Edgeも9月の月例更新で無効になる
kwsk
IEって11だよね?
旧Edgeは兎も角IE11にそんな話でたの?
Re: (スコア:0)
https://blogs.windows.com/msedgedev/2020/03/31/tls-1-0-tls-1-1-schedul... [windows.com]
Re: (スコア:0)
IE自体が消えるのかと思ったら違った
Re: (スコア:0)
私がとあるサイトに問い合わせた時には担当者の方から対応作業をすると回答があったので、問い合わせをするというのも案外有効なのかも。
文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。
ちなみにそのサイト、今確認したらTLS 1.2対応でしかもnon PFSなcipherが無効になっていますね。
Re:対応を望むサイト (スコア:1)
日本の企業限定ですが、社外からの問い合わせって外部圧力になるんで非常に効果が大きいです。
現場の担当者レベルでは気付いていても、上司や幹部が「予算がない」「今のところ問題はない」で拒絶しているような場合、
外部からの問い合わせで物事が一気に進むのをよく見ます。
株式公開している会社であれば、1単位株だけ買って株主として問い合わせるのが最も有効です。
だいたいの場合、上司や幹部が青ざめた顔で「何とかならんか!?」って狼狽え始めます。
Re: (スコア:0)
「(無償で)なんとかならんか」だしなあ…
#シラネ~ヨで一蹴したけど
Re: (スコア:0)
文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。
私の経験では、それらに加えて「このままでは閲覧できなくなる」も有効のようです。
Re: (スコア:0)
私が該当サイトの問い合わせフォームから報告するときは、
・Chrome, Firefox, Safariなど主要なブラウザではTLS1.2をサポートしないウェブサイトにアクセスできなくなること
・貴サイトではセキュリティ上の懸念があるSSL3, TLS1.0, TLS1.1のみが有効となっており、○月以降は利用者が貴サイトに接続できなくなること
・#3833738 [srad.jp]形式のSSL Server TestのURL (そのままアクセスすると、SSL Server Testのトップページに結果が晒される)
・「TLS 1.0 と 1.1 が廃止予定と [fxsitecompat.dev]
Re: (スコア:0)
どのように対応するかはサイト側の自由ですが、TLS 1.3に対応するケースはまれですね。
これはひどい [srad.jp]、何年前の設定か [srad.jp]などと書かれたためか(?)、TLS 1.3に対応したサイトもあります。
Re: (スコア:0)
もはや、企業でもレッツエンクリプトのほうが安全かもしれない。
Re:対応を望むサイト (スコア:1)
Let's Encrypt 使いまくり。やはり自動更新はうれしい
ただ、時々 certbot のソフトウェア自体の更新を手動でやらんといかんのがちと。こないだの Python2,3 の時みたいに
主要 distro についてはもっと手をかけずに動いてくれればなおうれしい
Re: (スコア:0)
認証局とTLSバージョンは全くもって無関係なんだが。
サイト側の禁止も地味に影響をうけるよね (スコア:0)
ブラウザ側の対応もそうなんだけど、サイト側でもAPIなどのTLS1.0/1.1の無効化をやっていってるのが地味に影響を受けてます。
最近だと数カ月止めてたslack botを復活させたらwebhooksがTLS1.0/1.1禁止になっててモジュールのアップデートしないといけなかったけど最初さっぱり理由がわからなかった・・・。
使ってたモジュールが内部でTLS1.0使ってたなんて気が付けなかったよ・・・。
Re: (スコア:0)
androidアプリでminsdkversionが4.4で引っかかったのでつらい
まあこれはデフォルト無効になってるだけだから有効を指定してやればいいだけだが