 Re: SSL TLS 関係・対応のいろいろ ( No.22 ) |
- 日時: 2014/11/11 11:24
- 名前: りり
- くりくりさん、ありがとうございます。
証明書を作るというこは、一般の方では行うことではないかと思いますが、そのことから、サーバ側やブラウザのSSL対応についての問題が認識され、一般の方々も、ログインを必要とするサイトなどで、影響が出てくるなと思い、続けさせていただきました。
私のほうでは、
>私はクラブパナソニックからのメールで知りました。
>クラブパナソニックでは普通に注意書きがあります。
>http://club.panasonic.jp/
ということも無かったので、全然気にしていませんでした。
これから、パナソニックやJRAのようなサイトが増えてくるという訳ですよね?
取り敢えずは、一般の皆様に、そのことを広められればと思っています。
あと、o6asanさんご紹介の対策というのも、一般的にどう必要か、イメージできなかったのですが
http://www.lopple.jp/?p=518
Chromeの起動オプションに、--ssl-version-max=tls1 追加の事例がありました。
Googleのサービスが遅いとか、ChromeでGmailなどのhttpsを使うサービスが見れないとか、したときの対応ということかな?
この方は、
>プロパイダーがJCOMなのだがWiMAXでみると普通に使えるのでおそらくプロパイダー側のtls周りが対応してないということだろうか。
と書かれていて、接続プロバイダも関係してくるのか?とか、ますます複雑な感じでオロオロしてきました…
|
| Re: SSL TLS 関係・対応のいろいろ ( No.24 ) |
- 日時: 2014/11/11 12:22
- 名前: くりくり
- o6asanさんこんにちは
蛇足ながら・・・。
dovecotもソースrpmからパッチあててリビルドすればdovecotもtlsのみにできるぽいです。
>まだ使えるところもあるというような事でしょうかね?
opesnsslの脆弱性ハートブリードや6月にもなんかあったような。
そんな感じで証明書作り直してるサイトも多いと思います。
あるとすればうちみたく期限がきれた証明書を使いまわしてるとか
自己証明書で有効期間を10年とかつくってるとかそれくらいでしょうか?
これと似たような問題でハッシュ関数SHA-1からSHA-2でつくらないといけないという問題もありますね。
|
| Re: SSL TLS 関係・対応のいろいろ ( No.25 ) |
- 日時: 2014/11/11 13:52
- 名前: o6asan
- こんにちは。
今回の SSLv3 の脆弱性に関して,エンドユーザとして必要な対応で主なのは,ブラウザの設定でしょうか。
それで,接続できなくなる PC サイトがあれば,接続をやめるべきです。どうしても接続したいなら,自己責任
ということになりますが,他のユーザのことも考えるなら,管理者に連絡を取って考えを改めさせ,対応させるべきでしょう。
モバイルのほうは,フィーチャーフォンという悩ましい問題があります。 PC とは少しレベルの違う話になって
いるようです。
ブラウザそのものの問題のようなので,キャリアの対応待ち,あるいは,この際,対応している機種に変更するとか
になります。対応していないのは,どうしても旧い機種がメインですから。
http://qiita.com/harukasan/items/dee779c0a3f624758230
これも,脆弱性のあるままでは,アクセスすべきではないと思います。
あと,エンドユーザで SSL が関係ありそうなのは,メールですかね。 WEB メールはブラウザの設定でいいと思い
ますが,専用メーラはどうでしょうか。
接続の保護とかで, SSL とか SSL/TLS がありますよね。これのレベルは詳しくはどうなってるんでしょうか。
SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2 のどれかわからないです。
さらに,ダウングレード接続禁止はサーバ依存か,クライアント側で制限可能か,よくわからないです。
私は, SeaMonkey をメーラーとして使っているのですが,これの場合は,総合の設定が,メールに
関しても有効なようです。
================================================================================================
--->> くりくりさん
> dovecotもソースrpmからパッチあててリビルドすればdovecotもtlsのみにできるぽいです。
RedHat の公式見解もそのようでしたね。バックポートの可能性もにおわせてはいましたが。
大筋としては,徐々に 7 に移行しなさいということなんでしょう。お疲れさまです。
|
| Re: SSL TLS 関係・対応のいろいろ ( No.26 ) |
- 日時: 2014/11/12 01:51
- 名前: o6asan
- 少しくどいかもしれませんが, >>25 の追記です。
PC のブラウザでは,私が >>15 に書いた対処法を取ったからと言って,接続できなくなるということは,普通は
ないと思います。たいていのところは, TLS に対応しています。つい最近まで対応していなかったとしても,
ここまで大騒ぎになってるのに,普通のところで POODLE 対策を考えていないところがあるとしたら,管理者の
怠慢です <<--- ちょっと,言い過ぎですかね  。
逆に,くりくりさんが >>20 でお書きのように,ユーザがインターネットエクスプローラー 6 のようなものすごく
古いブラウザを使っている場合には,サイトが POODLE 対策を取った場合,接続できなくなります。
インターネットエクスプローラー 8/9 でもデフォルトのままだと,できなくなることがあるようですが,
この場合は, >>11 で紹介したリンク先の対処法を取れば大丈夫です。
POODLE といわれる脆弱性は, ShellShock といわれる脆弱性よりも,単独では危険度が低いという判断のようですが,
SSL/TLS(つまり,https:// という形で URL が始まるサイト)でアクセスするところには,銀行やオンラインショップの
支払いサイトが含まれますから,用心する越したことないです。
ShellShock 関連のスレッド http://todos.xsrv.jp/22patioweb/todos.cgi?no=58
> Googleのサービスが遅いとか、ChromeでGmailなどのhttpsを使うサービスが見れないとか、
> したときの対応ということかな?
と, >>22 にありますが,私が紹介した対策は,そのためではありません。確かにその効果もありますが……
それよりも,訪ねた先に POODLE 対策を行っていない困ったサイトがあったときに,被害にあわないようにという,
転ばぬ先の杖です。ぜひ,対策を適用してください。
|
| Re: SSL TLS 関係・対応のいろいろ ( No.27 ) |
- 日時: 2014/11/12 20:58
- 名前: june
- こんばんは
エンドユーザーとしての対応ですが、他に?
JAVAをお使いの場合、JAVAコントロールパネルでSSL3のチェックを外したほうがいいのでしょうね?
ブラウザ関係ですが
http://www.agilegroup.co.jp/technote/poodle-check.html
↑を見てますと、クライアントの確認でSSL3の設定の状態を確認できるようです。
メーラーの関係はさっぱり分かりませんでした・・・・。
|
| Re: SSL TLS 関係・対応のいろいろ ( No.28 ) |
- 日時: 2014/11/12 21:40
- 名前: くりくり
- juneさん
今晩は
javaでしらべてみるとチェックはずしている方が結構いますね。
http://vogel.at.webry.info/201410/article_13.html
用心のためはずしたほうがいいと思います。
俺もはずしておこう。
|
| Re: SSL TLS 関係・対応のいろいろー ( No.29 ) |
- 日時: 2014/11/12 23:48
- 名前: o6asan
- こんばんは。
june さん,ありがとうございます。そうですねぇ,JAVA がありました!! 自分がインストールも
していないものですから,すっかり忘れてました。
TODOS で「JAVAトライ」というのをやらせていただいたときは, JRE どころか, JDK まで
入れてたんですが,その後,きれいさっぱりアンインストールしてしまいましたので,コロッと。
http://goo.gl/bz6fwv ←「JAVAトライ」関連のスレッド群
JAVA アプレットを利用した重要どころの https:// のサイトってあるかもしれませんね。
それと,昨日書いたときに,私の頭にはエンドユーザとして, FTP を使う方のことが入って
なかったのですが,FTP も関係あります。 FTP で接続している方がどのくらいいらっしゃるか
わかりませんが,フリーのレンタルサーバだと,今だに平文の FTP のところもあります。
でもって, FTPS になってるところもそこそこあるのですが,これは File Transfer Protocol
over SSL/TLS のことですから, SSLv3 が絡んで来るかもしれません。
しかし,メールと違って,フリーのレンタルサーバにそれほど機密性の高いものを送るとは
思えないので,パスワードとかの使いまわしとかをしてない限り問題はないんじゃないでしょうか。
これは,あくまで,個人的な見解ですから,他の考えかたをする方はいらっしゃるでしょう。
メーラーの件はどうなるんでしょうか。気になるのですが,メールサーバ頼みになるのでしょうか。
それから,今回のこととは直接関係ないですが,銀行関係などは,他のところとパスワードを分け
ましょう。また,今どき,ネットバンキングだと,ワンタイムパスワードとか,二段階認証とかに
なってると思います。面倒でも,絶対にそういうサービスを利用すべきです。
|
| Re: SSL TLS 関係・対応のいろいろ ( No.30 ) |
- 日時: 2014/11/13 09:24
- 名前: りり
- こちらのスレッドは、一般的なユーザーのブラウザ利用や設定に関わることが分かり易いように、鍵長関係は、省かせていただきました。
そのあたりは、こちらにありますので、区分けしてお書き込みいただければ幸いです。
ご協力、よろしくお願いいたします。
http://todos.xsrv.jp/22patioweb/todos.cgi?no=57
|
| Re: https ログイン・認証・通信情報暗号化・SSL TLS 関係いろいろ ( No.31 ) |
- 日時: 2014/11/17 07:30
- 名前: りり
- >>29で、o6asanさんが
>銀行関係などは,他のところとパスワードを分けましょう。
>また,今どき,ネットバンキングだと,ワンタイムパスワードとか,二段階認証とかになってると思います。
>面倒でも,絶対にそういうサービスを利用すべきです
と、お書きになっていますが、このあたりは、とても大事ですね。
ネット銀行や通販は危険と全く近寄らない方もいらっしゃいますが、やはり便利ですから、安全に上手に利用すると良いと思います。
銀行関係は、銀行がしっかり対策しているし、いろいろ注意喚起も銀行のトップページや、ログイン前ページに出しているので、皆さんも気づきやすいと思います。
実は、偽サイトで注文して口座振り込みをされる方も結構いるので、ネット振り込み前に、「店の振り込み口座が個人名の場合、本当に店舗があるか確認してください。」というメッセージも出して欲しいと、こちらの仲閧ニやりとりしたことがあるんです。
http://todos.xsrv.jp/2patiosec/todos.cgi?no=30
この詐欺一味は、この夏にサイト停止されてから、やっと新サイトをJimdoに作らなくなりました。
捜査がどうなったのかは分からないんですが。
ATMの振り込み画面でも、振り込め詐欺に対する注意が出ていたりします。銀行は、大元のシステムで少し手直しすれば、全国的に反映されるので、動きの遅い警察などよりずっと対応は早いようです。警察は、法改正がないと何も手を出せないみたいです。
ですから、危険なのは、ネットバンキングよりネットショッピングかなと思います。
クレジットカードを登録していると自動的に引き落とし手続きされます。
もし、アマゾンとかヤフー、楽天のIDとパスワードを知られたら、簡単にお買い物され、送付先も簡単に変更されてしまうんです。連絡先メールアドレスも変更されたら、本人は分からないですし。
ネットショッピングサイトは、パスワード一つですし、その保護もどうなっているのか…
ネットショッピングサイトの管理は甘い感じがしますし、そうしたサイトの設置に対する法的規制も甘いと思います。
何より、本人確認無しに、簡単にネットショッピングサイトが無料できてしまいます。
SSL TLS認証暗号化をいくら行っても、IDとパスワードののっとりが簡単だと意味が無くなりますよね?
銀行と同じように、ネットショッピングの偽サイトで、ID、パスワードを入力させようというフィッシングメールにも注意したいです。
もしかしたら、SSL TLS以前のもっと底辺のところに危険がいっぱいあるのかもしれません。
何か、SSL騒動と、低レベルネット犯罪とのギャップを凄く感じてしまうんです。
一般の方の認識とか心理とか考えた対策が必要かなと思います。
こういう話題になると、自己責任、騙される者が不注意という声が出てくることも多いのですが、偽サイトなどでの被害金が組織暴力団に集積され、皆の生活全体が脅かされていくんですよね。
ですから、ネットの安全利用については、一般の方に「これだけは守って」という基本レベルから浸透させていくには、どうしたら良いかなとか考えてしまいます。
なにせ「使用中にLANケーブル抜いたら、パソコンが壊れる?」というような仕組みが分からないだけに、何が大事で何が危険か、ピンと来ない方も多いと思うんです。
 |
| Re: https ログイン・認証・通信情報暗号化・SSL TLS 関係いろいろ ( No.32 ) |
- 日時: 2015/08/22 22:16
- 名前: りり
- 今日、ずっと出ていたから、携帯でTODOSを見ていたら、くりくりさんのブログが閲覧出来ないのね。
httpsにしてからかな?
安全性が確認出来ないサイトですと出て、接続するを選ぶと、SSLで通信出来ませんでしたとなって、ひょうじされません。
私の携帯だと、httpsのところはダメなのかな?
今後、確認していきたいと思います。
|
https ログイン・認証・通信情報暗号化・SSL TLS 関係いろいろ