Chrome 45のセキュリティ改善により、開けないサイトが現れる
2015年9月6日 19:21
あるAnonymous Coward 曰く、 Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、ヤマト運輸のクロネコメンバーズ、ミスタードーナッツ、ダスキン、出版社共同ネット、競輪、J-CASTの東京バーゲンマニア、神奈川県教育委員会ネットワークシステム、東京学芸大学、太平洋フェリーなどがHTTPS経由で開けないようだ。
編注: タレこみにあった日本自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセスできないのでカットした。UCカードは「https://www2.uccard.co.jp/」が現在使われているものとみられ、日本自動車連盟とUR都市機構は暗号化の必要なページのみそれぞれ別ドメインが使われているようだ。また、東京バーゲンマニアのURLにはサブドメインを追加した。
スラドのコメントを読む | セキュリティセクション | Chrome | セキュリティ | 通信 | バグ | インターネット | 暗号
関連ストーリー: RC4暗号化、来年ついに終焉へ 2015年09月02日 TLS 1.0無効化における障害は? 2015年07月25日 Salesforce、TLS 1.0のサポート終了を表明 2015年07月24日 RC4暗号の脆弱性を使ったセッションハイジャック手法が発表される 2015年07月23日 SSL 3.0の廃止を求めるRFC 7568がリリースされる 2015年06月30日 クレジットカード処理におけるTLS 1.0の使用が非推奨に 2015年06月01日 TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日 SSL 3.0の脆弱性「POODLE」はTLSにも影響する 2014年12月12日 SSL3.0/TLS1.0 に脆弱性 2011年09月29日