...pudding - diary


2007-03-11

_ [Software] SSL v3 、暗号化強度 128bit 以上への対応

 ■Firefox で @ぴあ の SSL 接続

普段、ブラウザは Firefox を使っております。

Firefox 2.0 で「@ぴあメンバーズへの会員登録」しようとしたら弾かれました。

image

サイトが Firefox で有効になっていないセキュリティプロトコルを使用しているため、ts.pia.co.jp と安全に通信できません。

HTTPS なサイトでこんなコトになったのは個人的には初めてだったので、「アレ? フィッシング的な何か?」 と不思議に思って、Operaでアクセスしてみました。

Opera 9 には フィッシング防止機能 がありまして、アクセス先が怪しいかどうかをDBに問い合わせてガイドしてくれます。

その機能でもって調べようとしたら、辿り着く前に Firefox と同じような感じで弾かれました。

- このサイトは古い暗号化方式を使用しています。現在、この方式はセキュアでない方式と分類されており、重要な情報を保護するには不十分と言えます。このまま操作を続けますか?
- このサーバーではセキュアでないとみなされている暗号化方式が使われています。

ああ、こりゃアレだな、暗号化通信の強度が 56bit とか 40bit とかなんだな、と。

 ■XP の IE7 で @ぴあ の SSL 接続

Windows XP の IE7 だと OK でした。Windows XP 側で 56bit とか 40bit とかのユルめなのを許可してるようだ。

 ■Vista の IE7 で @ぴあ の SSL 接続

試しに WindowsVista の IE7 でアクセスしたら弾かれました。

Internet Explorer ではこのページは表示できません

Windows Vista では弱い暗号アルゴリズム (40bit および 56bit の暗号化) は無効になっているそうです。

@ぴあ、こんなじゃ客を逃がすぞ。と思ったけど最大手だから客の方から寄ってくるのか。殿様商売は良いなあ。ていうか担当のSI屋さん、さっさと 128bit 以上に対応できるよう提案して導入してください。

今はもう安全でないとされる暗号化 bit 長の所でクレジットカード番号や個人情報を入力させるというのがすげえなあ。

とか思ってヘッダ見たらコレですか!

IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Unix)

えっと、 WebSphere Application Server 3.x 時代? もしかして 2.x?

関係者はさっさとコレ読んでください→ 【FAQ】WebSphere Application ServerのWindows Vistaへの対応について

 ■@ぴあ への SSL 接続ができるようにするには

Vista の IE7 で、受け入れ可能な暗号化 bit 長を弱い方へ落とすのは無理なのかな? レジストリを軽く探してみたところ、設定項目っぽいのは見つからなかった。

Firefox の場合は、security.ssl3.rsa_rc4_40_md5 を true にする という方法でとりあえずいけます。

Opera の場合は、[ツール]→[設定]→[詳細設定]タブの左側から[セキュリティ]、右側の[セキュリティプロトコル]ボタン、[詳細設定]ボタン→[詳細>>]、下部のリストより[56 bit DES (RSA/SHA)]にチェック、でとりあえずいけます。

終わったら元に戻しておけ。


2007年
3月
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
Twitter : @moriya_jp