FirefoxがSSL 2.0のサポートを廃止へ 29
ストーリー by Acanthopanax
チェックを外す 部門より
チェックを外す 部門より
Anonymous Coward曰く、"Mozilla FirefoxがSSL 2.0のサポートを廃止する計画が進行中だ。SSLは安全な通信のためになくてはならないものだが、2.0にはセキュリティに関する多くの欠陥がある。そのため、Firefoxは新しくて安全なSSL 3.0とTLS 1.0だけをサポートすることになる。
Firefox 1.0.xでは、GUIからSSL 2.0の利用を簡単に停止できる。停止すれば安全になるうえ、自分が運営・利用しているウェブサイトがSSL 2.0を必要としていないかどうかもチェックできてお得だ。SSL 2.0が必要なウェブサイトを発見したら、根回しをよろしく。ちなみに、IE6はデフォルトでSSL 3.0が有効なので、サーバーでSSL 2.0を停止してもIE6からのアクセスに問題はないので、ご安心を。"
「つながる」だけじゃだめ。 (スコア:5, 参考になる)
「SSL 2.0無効→接続→つながった→めでたしめでたし」とはなりません。
SSLで保護するサイトを提供している人は、サーバのログもちゃんと確認しましょう。
# まあ、そうなる可能性があるというだけで、具体的な例を出すことはできないんですが。
## SSLCipherSuiteから「+eNULL」を抜いてあるサイトでは関係ない話です。
Re:「つながる」だけじゃだめ。 (スコア:0)
信頼できる証明書がどれなのか把握してないと、暗号化されててもだまされたら意味ないですし、社内などから接続しない限り、通信経路を盗聴されることってほとんどないと思うので。
スパイウェアなんかはSSL関係なしにブラウザ画面盗聴するし。
重箱の隅ですが (スコア:3, すばらしい洞察)
Re:重箱の隅ですが (スコア:1)
そうですねぇ。ということで、こちらも修正しました。
部門名 (スコア:2, 興味深い)
Netscapeユーザーな私も設定を確認しましたよ。Operaな人とかはどうしてるんかな。
Re:部門名 (スコア:2, 参考になる)
ツール→設定(Ctrl+F12)→詳細設定タブ→セキュリティ→セキュリティプロトコル を開いて、一番上のチェックボックス「SSL 2を有効にする」を外す。
次期バージョンでは、FireFoxに追従する形でいいからデフォルトで「SSL 2を有効にする」のチェックが外れているといいな。
Re:部門名 (スコア:1)
タレコミやリンク先を見ると、SSL 2.0を有効にする機能そのものがFirefox標準では提供されなくなるように読めます。
ついでにKonqueror (スコア:2, 参考になる)
設定→暗号→SSLタブ, と来て「SSLv2を有効にする」スイッチを外せばOKですね.
Re:部門名 (スコア:1)
□[SSL 2を有効にする]
□[SSL 3を有効にする]
□[TSL 1を有効にする]
□[TSL 1.1を有効にする]
デフォルトではSSL2.0は有効になっていたのでチェックはずしておきました。
Safariでは..... (スコア:1, 参考になる)
(環境設定で詳細を設定出来ないっぽい....)
やや意味不明 (スコア:2, すばらしい洞察)
FireFoxもSSL 3.0は有効ですよね?
その上で、SSL 2.0も有効だったのを無効にするって話ではないのですか?
とすると、IE6でSSL 3.0がデフォルトで有効なのかどうかが問題なのではなくて、SSL 2.0も有効なのかどうかが問題なのでしょ?
Re:やや意味不明 (スコア:2, 興味深い)
「Firefoxでは停止すべし」「IE6はデフォルトでご安心を」とはこれいかに。
Re:やや意味不明 (スコア:2, 参考になる)
前の文からの流れで、「サーバー側でSSL 2.0を停止しても、IE6でもSSL 3.0が有効なので、(シェアの高い)IE6で問題が出ることはない」と解釈したのですが。
Re:やや意味不明 (スコア:0)
今の文脈では”IEを使ってる人は気にしなくていいんだ”と解釈できてしまいます。
Re:やや意味不明 (スコア:1)
ということで、誤解のないように加筆しました。
Re:やや意味不明 (スコア:0)
そういえば、@niftyの一部がSSL 2.0有効にしないと使えなかった気がします。
Sunのサイトは、FirefoxでOCSPを有効にすると、つながらんというメッセージが出てました。
どちらも1年ほど前のことですが、今はどうだか知りません。
@niftyでは (スコア:1)
#困らん・・。
Re:やや意味不明 (スコア:0)
あなたはFirefoxにしか興味が無いかもしれませんが、そうでない人も居るんですよ。
# その割りにIEしか挙げないのは調査が面倒だったからかな。
Re:やや意味不明 (スコア:1, すばらしい洞察)
(設定変更とかしなそうな) IE な人がアクセスできないのでは困るだろ
うから、そういうことはありませんよ、ということでは?
2.0 はどう危ないの? (スコア:1, 興味深い)
Re:2.0 はどう危ないの? (スコア:1)
[SSL-Talk List FAQ] Secure Sockets Layer Discussion List FAQ v1.1.1 [opennet.ru] の "4.11) What is the difference between SSL 2.0 and 3.0?" にはいくつかの脆弱性が列挙されています。その筆頭は
つまり、サーバとクライアントの間に入って双方の通信を覗き見・改変できる脆弱性がプロトコル仕様自体に見つかっています。これだけでも使用を差し控えるに十分です。
Re:2.0 はどう危ないの? (スコア:0)
それは、man-in-the-middleの方法で、使用する暗号の強度を下げられる攻撃があり得るという話です。
直ちに「双方の通信を覗き見・改変できる」という話ではありませんね。
Re:2.0 はどう危ないの? (スコア:0)
つ["SSL 2.0" 脆弱 [google.co.jp]]
Re:2.0 はどう危ないの? (スコア:0)
Re:2.0 はどう危ないの? (スコア:5, 参考になる)
認証の仕組みが3.0で強化されて、より厳密に行えるようになった、ような記憶もあります(うろ覚え)。
プロトコル自体が、「欠陥」は言い過ぎだとしても、現在使うには脆弱である、
と言えると思います。
参考:IPAの「SSLの解説」
http://www.ipa.go.jp/security/fy10/contents/over-all/02/22.html
「根回しをよろしく」って・・・ (スコア:1, おもしろおかしい)
こんな感じ?
クレーマ:おたくのサイト、SSL 2.0でないとつながらないのですが。
サポセン:それではまずお客様のパソコンのメーカーを教えてください。
クレ:ハァ?関係ないでしょそんなの。
サポ:Windows ME ですか?
クレ:Windows 2000 ですが。
サポ:Windows XP ですね。
クレ:・・・。
サポ:それではどのような症状でしょうか。
クレ:SSL 2.0をオフにしているとログインできません。
サポ:当サイトにはクッキーとジャバスクリプトが必要です。有効にしてください。
クレ:それは有効です。SSL 2.0をオフにしたらと言っているんですが。
サポ:SSLですね・・・。
クレ:はい。
サポ:当サイトは米国ベリサイン社の最高レベルの128ビット暗号SSLを使用しておりますので、お客様の個人情報が漏洩することはございません。ご安心ください。
クレ:いやだから、SSL 2.0をオフに設定していると、そもそもつながらないんですよ。
サポ:SSLをオフに?どのように設定なさっているのでしょうか?
クレ:Firefoxで詳細のところのセキュリティのところでSSL 2.0のチェックボックスをオフにするんです。
サポ:Firefoxはサポートしておりません。Internet Explorerをお使いください。
クレ:ハァ?普通にFirefoxで使えていますよ。
サポ:申し訳ございませんがFirefoxはサポート外となっております。
クレ:・・・。じゃあIEでもいいですよ。IEの詳細設定で SSL2.0を使用するをオフにすると、おたくのサイトは使えなくなります。
サポ:では、オフにしないでいただきたいのですが。
クレ:SSL2.0は安全性に問題があるので使わないのが世の流れなのです。
サポ:安全性ですか。SSLの安全性はベリサイン社の高度な技術によって保証されておりますがー。
クレ:いやだからさー、SSL 2.0と SSL 3.0と TLS 1.0と、いろいろなバージョンがあるわけ。古い 2.0はもう使わない方がいいって言われてるわけ。
サポ:しかし他のお客様は正常にお使いいただいております。とくにそういった苦情は入っておりませんが・・・。
クレ:ですから、暗号が危ない状態で皆使っているわけです。
サポ:・・・そうですか。それではそういった声があったことを伝えておきます。
クレ:どう伝えるの?
サポ:SSL 2.0をオフにしていると使えないという声がありましたと伝えます。
クレ:それで伝えた先は意味がわかるの?
サポ:私が責任を持って伝えます。
クレ:・・・。(ほんとかよ)
なかなか優秀な (スコア:2, おもしろおかしい)
Re:なかなか優秀な (スコア:0)
「私が責任を持って」と(理解しているか、相手が満足するかは別に)、
最低限の権限・対応の行使を約束しているからだと思いますが、
より完全な人工無能メソッドは、お役所クラ