Re: インターネットの接続エラー ( No.21 ) |
- 日時: 2014/11/11 11:20
- 名前: o6asan
- 横から,失礼します。
どこか簡単に書いてあるサイトを代用しようと思ったのですが,なかなか見当たりません。
SSL(TLS)と鍵長の関係は,ものすごく大雑把なたとえ方をすると,街道と検問通過の証明書のようなものです。
SSL(TLS) : 街道 鍵長 : 検問通過の証明書
まず街道をできるだけ安全なものにし,さらに検問を通るときの証明を厳重にするというようなことでしょうか。
ものすごく雑なたとえですが,イメージはしやすくなると思います。
鍵長については, 公開鍵暗号とかで調べると出て来ると思います。
ですから,鍵長は, SSL(TLS) の安全性に関係しますが,SSLv3 にのみ関係するわけではありません。 TLS 用でも 1024 の鍵を作ることは可能なはずです。
追記: POODLE は SSLv3 の脆弱性です。当初は TLSv1.0 にも関係あるかもという記事も見ましたが,その後,ないようだ ということになったみたいです。また,変わるかもしれませんが。
|
Re: インターネットの接続エラー ( No.22 ) |
- 日時: 2014/11/11 11:24
- 名前: りり
- くりくりさん、ありがとうございます。
証明書を作るというこは、一般の方では行うことではないかと思いますが、そのことから、サーバ側やブラウザのSSL対応についての問題が認識され、一般の方々も、ログインを必要とするサイトなどで、影響が出てくるなと思い、続けさせていただきました。
私のほうでは、
>私はクラブパナソニックからのメールで知りました。 >クラブパナソニックでは普通に注意書きがあります。 >http://club.panasonic.jp/
ということも無かったので、全然気にしていませんでした。
これから、パナソニックやJRAのようなサイトが増えてくるという訳ですよね?
取り敢えずは、一般の皆様に、そのことを広められればと思っています。
あと、o6asanさんご紹介の対策というのも、一般的にどう必要か、イメージできなかったのですが
http://www.lopple.jp/?p=518 Chromeの起動オプションに、--ssl-version-max=tls1 追加の事例がありました。
Googleのサービスが遅いとか、ChromeでGmailなどのhttpsを使うサービスが見れないとか、したときの対応ということかな?
この方は、 >プロパイダーがJCOMなのだがWiMAXでみると普通に使えるのでおそらくプロパイダー側のtls周りが対応してないということだろうか。
と書かれていて、接続プロバイダも関係してくるのか?とか、ますます複雑な感じでオロオロしてきました…
|
Re: インターネットの接続エラー ( No.23 ) |
- 日時: 2014/11/11 11:46
- 名前: りり
- あっ、o6asanさん、ありがとうございます。
なるほど…少し理解してきました。
>1024 の鍵には対応しない
ということで少し見てみると https://jp.globalsign.com/service/ssl/knowledge/use/1024bit.html
>1024ビットエンドエンティティ証明書は、2013年12月31日までに有効期間を終えなければならない。
とか、
>2014年以降の有効期間を持つエンドエンティティ証明書のRSA公開鍵長は2048bit以上でなければならない。
と、ありますね。
>対応が遅れている認証局では、エンドエンティティ証明書や中間証明書において、未だ1024bit RSA鍵を使用していたり、携帯電話への対応を実現するためにクロス証明書を発行したりしています。
ということなので、
>FireFox33から証明書の鍵長1024bitをサポートしなくなった
というのが、本来の姿かもしれない…、でもーーー対応が遅れている部分があるので、まだ使えるところもあるというような事でしょうかね?
|
Re: インターネットの接続エラー ( No.24 ) |
- 日時: 2014/11/11 12:22
- 名前: くりくり
- o6asanさんこんにちは
蛇足ながら・・・。 dovecotもソースrpmからパッチあててリビルドすればdovecotもtlsのみにできるぽいです。
>まだ使えるところもあるというような事でしょうかね?
opesnsslの脆弱性ハートブリードや6月にもなんかあったような。 そんな感じで証明書作り直してるサイトも多いと思います。
あるとすればうちみたく期限がきれた証明書を使いまわしてるとか 自己証明書で有効期間を10年とかつくってるとかそれくらいでしょうか?
これと似たような問題でハッシュ関数SHA-1からSHA-2でつくらないといけないという問題もありますね。
|
Re: インターネットの接続エラー ( No.25 ) |
- 日時: 2014/11/11 13:52
- 名前: o6asan
- こんにちは。
今回の SSLv3 の脆弱性に関して,エンドユーザとして必要な対応で主なのは,ブラウザの設定でしょうか。
それで,接続できなくなる PC サイトがあれば,接続をやめるべきです。どうしても接続したいなら,自己責任 ということになりますが,他のユーザのことも考えるなら,管理者に連絡を取って考えを改めさせ,対応させるべきでしょう。
モバイルのほうは,フィーチャーフォンという悩ましい問題があります。 PC とは少しレベルの違う話になって いるようです。
ブラウザそのものの問題のようなので,キャリアの対応待ち,あるいは,この際,対応している機種に変更するとか になります。対応していないのは,どうしても旧い機種がメインですから。 http://qiita.com/harukasan/items/dee779c0a3f624758230
これも,脆弱性のあるままでは,アクセスすべきではないと思います。
あと,エンドユーザで SSL が関係ありそうなのは,メールですかね。 WEB メールはブラウザの設定でいいと思い ますが,専用メーラはどうでしょうか。
接続の保護とかで, SSL とか SSL/TLS がありますよね。これのレベルは詳しくはどうなってるんでしょうか。 SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2 のどれかわからないです。
さらに,ダウングレード接続禁止はサーバ依存か,クライアント側で制限可能か,よくわからないです。
私は, SeaMonkey をメーラーとして使っているのですが,これの場合は,総合の設定が,メールに 関しても有効なようです。 ================================================================================================
--->> くりくりさん > dovecotもソースrpmからパッチあててリビルドすればdovecotもtlsのみにできるぽいです。
RedHat の公式見解もそのようでしたね。バックポートの可能性もにおわせてはいましたが。 大筋としては,徐々に 7 に移行しなさいということなんでしょう。お疲れさまです。
|
Re: インターネットの接続エラー ( No.26 ) |
- 日時: 2014/11/12 01:51
- 名前: o6asan
- 少しくどいかもしれませんが, >>25 の追記です。
PC のブラウザでは,私が >>15 に書いた対処法を取ったからと言って,接続できなくなるということは,普通は ないと思います。たいていのところは, TLS に対応しています。つい最近まで対応していなかったとしても, ここまで大騒ぎになってるのに,普通のところで POODLE 対策を考えていないところがあるとしたら,管理者の 怠慢です <<--- ちょっと,言い過ぎですかね 。
逆に,くりくりさんが >>20 でお書きのように,ユーザがインターネットエクスプローラー 6 のようなものすごく 古いブラウザを使っている場合には,サイトが POODLE 対策を取った場合,接続できなくなります。 インターネットエクスプローラー 8/9 でもデフォルトのままだと,できなくなることがあるようですが, この場合は, >>11 で紹介したリンク先の対処法を取れば大丈夫です。
POODLE といわれる脆弱性は, ShellShock といわれる脆弱性よりも,単独では危険度が低いという判断のようですが, SSL/TLS(つまり,https:// という形で URL が始まるサイト)でアクセスするところには,銀行やオンラインショップの 支払いサイトが含まれますから,用心する越したことないです。 ShellShock 関連のスレッド http://todos.xsrv.jp/22patioweb/todos.cgi?no=58
> Googleのサービスが遅いとか、ChromeでGmailなどのhttpsを使うサービスが見れないとか、 > したときの対応ということかな?
と, >>22 にありますが,私が紹介した対策は,そのためではありません。確かにその効果もありますが…… それよりも,訪ねた先に POODLE 対策を行っていない困ったサイトがあったときに,被害にあわないようにという, 転ばぬ先の杖です。ぜひ,対策を適用してください。
|
Re: インターネットの接続エラー ( No.27 ) |
- 日時: 2014/11/12 20:58
- 名前: june
- こんばんは
エンドユーザーとしての対応ですが、他に? JAVAをお使いの場合、JAVAコントロールパネルでSSL3のチェックを外したほうがいいのでしょうね?
ブラウザ関係ですが http://www.agilegroup.co.jp/technote/poodle-check.html ↑を見てますと、クライアントの確認でSSL3の設定の状態を確認できるようです。
メーラーの関係はさっぱり分かりませんでした・・・・。
|
Re: インターネットの接続エラー ( No.28 ) |
- 日時: 2014/11/12 21:40
- 名前: くりくり
- juneさん
今晩は javaでしらべてみるとチェックはずしている方が結構いますね。 http://vogel.at.webry.info/201410/article_13.html 用心のためはずしたほうがいいと思います。
俺もはずしておこう。
|
Re: インターネットの接続エラー ( No.29 ) |
- 日時: 2014/11/12 23:48
- 名前: o6asan
- こんばんは。
june さん,ありがとうございます。そうですねぇ,JAVA がありました!! 自分がインストールも していないものですから,すっかり忘れてました。 TODOS で「JAVAトライ」というのをやらせていただいたときは, JRE どころか, JDK まで 入れてたんですが,その後,きれいさっぱりアンインストールしてしまいましたので,コロッと。 http://goo.gl/bz6fwv ←「JAVAトライ」関連のスレッド群
JAVA アプレットを利用した重要どころの https:// のサイトってあるかもしれませんね。
それと,昨日書いたときに,私の頭にはエンドユーザとして, FTP を使う方のことが入って なかったのですが,FTP も関係あります。 FTP で接続している方がどのくらいいらっしゃるか わかりませんが,フリーのレンタルサーバだと,今だに平文の FTP のところもあります。 でもって, FTPS になってるところもそこそこあるのですが,これは File Transfer Protocol over SSL/TLS のことですから, SSLv3 が絡んで来るかもしれません。
しかし,メールと違って,フリーのレンタルサーバにそれほど機密性の高いものを送るとは 思えないので,パスワードとかの使いまわしとかをしてない限り問題はないんじゃないでしょうか。 これは,あくまで,個人的な見解ですから,他の考えかたをする方はいらっしゃるでしょう。
メーラーの件はどうなるんでしょうか。気になるのですが,メールサーバ頼みになるのでしょうか。
それから,今回のこととは直接関係ないですが,銀行関係などは,他のところとパスワードを分け ましょう。また,今どき,ネットバンキングだと,ワンタイムパスワードとか,二段階認証とかに なってると思います。面倒でも,絶対にそういうサービスを利用すべきです。
|
Re: インターネットの接続エラー ( No.30 ) |
- 日時: 2014/11/13 09:09
- 名前: りり
- こちらのスレッドには、3つの要素が入り交じってきました。
当初は、インターネット接続が不安定というご相談でしたが、変わってきています。
ですので、コピー編集をして、
インターネット接続が不安定問題は、こちら http://todos.xsrv.jp/2patiolan/todos.cgi?no=9
一般的ユーザーの暗号化通信のあるサイト・ページ利用については、こちら http://todos.xsrv.jp/2patiosec/todos.cgi?no=58
サーバやサイト運営側からも含めた暗号化通信問題は、こちら http://todos.xsrv.jp/22patioweb/todos.cgi?no=57
と分けたいと思います。まだ重複している書き込みもありますが、場合により取捨選択していくかもしれません。
下の二つは、結構、リアルタイムな話題で、情報としても重要と思いますので、あちこち、戸惑う面もあるかもしれませんが、ご協力のほど、よろしくお願いします。
こちらは、この分け方とか、内容についてのご意見をいただくため少し残しておきます。
しばらくしたら、参照のみとしたり必要なくなれば削除したりと考えていきますので、ご了承ください。
|