パスワードを忘れた? アカウント作成
14211745 story
Chrome

延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 19

ストーリー by hylom
設定のご確認を 部門より

新型コロナウイルス感染拡大の影響で延期されていたTLSバージョン1.0および1.1(TLS 1.0/1.1)の無効化がついに行われるようだ。Firefoxでは、6月30日公開のFirefox 78でデフォルトでTLS 1.0/1.1の無効化が行われる(MozillaのBugzilaFirefoxサイト互換性情報)。

HTTPSなどの暗号化通信で使われるTLSのバージョン1.0および1.1では脆弱性が発見されており安全ではないとして、2020年中に主要WebブラウザではTLS 1.0/1.1のサポートが廃止される方針だった

Firefoxだけでなく、Google Chromeの次期バージョンであるChrome 84でもTLS 1.0/1.1のサポートが削除される予定(窓の杜)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年06月15日 16時07分 (#3833738)

    www.hoyu.co.jp [ssllabs.com]
    www.bi-shin.co.jp [ssllabs.com]
    www.igaku-shoin.co.jp [ssllabs.com]

    www.attaka.or.jp [ssllabs.com]やwww.orikomi.tv [ssllabs.com]のようなhttpsをやめるという斜め上対応のサイトもあり、httpsが有効だったときにリンク張っていたサイトがはしごを外されている。

    • by Anonymous Coward

      2つ挙げられているhttpsをやめるというのは私にはわかりませんが、 www.igaku-shoin.co.jp はhttpsをやめていると思います。
      https://srad.jp/comment/3783925 [srad.jp]

      • by Anonymous Coward
        対応してほしいなら、お問い合わせ窓口から問い合わせればいいんじゃなかと
        ネットで騒いだところで、担当者は暇じゃないので気づくことはないわけで。

        大半の企業は、文句がないのはいい証拠!、うちのサイトや製品は素晴らしい!
        としか思ってないのに、
        必死に騒いでる人はいるみたいだけど
        • by Anonymous Coward

          問い合わせたところで「IEをご利用ください」と言われるのが関の山。IEもLegacy Edgeも9月の月例更新で無効になるから逃げ道ないんだけどね

        • by Anonymous Coward

          私がとあるサイトに問い合わせた時には担当者の方から対応作業をすると回答があったので、問い合わせをするというのも案外有効なのかも。
          文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。

          ちなみにそのサイト、今確認したらTLS 1.2対応でしかもnon PFSなcipherが無効になっていますね。

          • by Anonymous Coward on 2020年06月16日 7時28分 (#3834089)

            日本の企業限定ですが、社外からの問い合わせって外部圧力になるんで非常に効果が大きいです。

            現場の担当者レベルでは気付いていても、上司や幹部が「予算がない」「今のところ問題はない」で拒絶しているような場合、
            外部からの問い合わせで物事が一気に進むのをよく見ます。

            株式公開している会社であれば、1単位株だけ買って株主として問い合わせるのが最も有効です。
            だいたいの場合、上司や幹部が青ざめた顔で「何とかならんか!?」って狼狽え始めます。

            親コメント
            • by Anonymous Coward

              「(無償で)なんとかならんか」だしなあ…
              #シラネ~ヨで一蹴したけど

          • by Anonymous Coward

            文面にはSSL LabsのratingがFになっているリンクを貼ったり、「もはや安全ではない」「脆弱」などの言葉を使ったりして危機感を煽りましょう。

            私の経験では、それらに加えて「このままでは閲覧できなくなる」も有効のようです。

          • by Anonymous Coward

            私が該当サイトの問い合わせフォームから報告するときは、
            ・Chrome, Firefox, Safariなど主要なブラウザではTLS1.2をサポートしないウェブサイトにアクセスできなくなること
            ・貴サイトではセキュリティ上の懸念があるSSL3, TLS1.0, TLS1.1のみが有効となっており、○月以降は利用者が貴サイトに接続できなくなること
            #3833738 [srad.jp]形式のSSL Server TestのURL (そのままアクセスすると、SSL Server Testのトップページに結果が晒される)
            ・「TLS 1.0 と 1.1 が廃止予定と [fxsitecompat.dev]

            • by Anonymous Coward

              どのように対応するかはサイト側の自由ですが、TLS 1.3に対応するケースはまれですね。

              これはひどい [srad.jp]、何年前の設定か [srad.jp]などと書かれたためか(?)、TLS 1.3に対応したサイトもあります。

              • by Anonymous Coward

                もはや、企業でもレッツエンクリプトのほうが安全かもしれない。

              • by esuta (40045) on 2020年06月16日 14時12分 (#3834277)

                Let's Encrypt 使いまくり。やはり自動更新はうれしい
                ただ、時々 certbot のソフトウェア自体の更新を手動でやらんといかんのがちと。こないだの Python2,3 の時みたいに
                主要 distro についてはもっと手をかけずに動いてくれればなおうれしい

                親コメント
              • by Anonymous Coward

                認証局とTLSバージョンは全くもって無関係なんだが。

  • by Anonymous Coward on 2020年06月16日 9時56分 (#3834133)

    ブラウザ側の対応もそうなんだけど、サイト側でもAPIなどのTLS1.0/1.1の無効化をやっていってるのが地味に影響を受けてます。

    最近だと数カ月止めてたslack botを復活させたらwebhooksがTLS1.0/1.1禁止になっててモジュールのアップデートしないといけなかったけど最初さっぱり理由がわからなかった・・・。
    使ってたモジュールが内部でTLS1.0使ってたなんて気が付けなかったよ・・・。

    • by Anonymous Coward

      androidアプリでminsdkversionが4.4で引っかかったのでつらい
      まあこれはデフォルト無効になってるだけだから有効を指定してやればいいだけだが

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...