Chrome 48リリース、ついにRC4暗号が無効に 11
ストーリー by hylom
皆様がよくアクセスするサイトではいかがでしょうか 部門より
皆様がよくアクセスするサイトではいかがでしょうか 部門より
あるAnonymous Coward 曰く、
1月20日、Google Chrome 48がリリースされた(Chrome Releasesブログ)。
今回の更新では弱いと言われてきたRC4暗号が遂にデフォルトで無効化され、RC4以下の強度の暗号でしか接続できないHTTPSサイトに接続できなくなる。JRAのClub A-PATなど未対策のため繋げなくなったサイトもあるものの、猶予期間が長かったため対策済のサイトがほとんどのようだ。
なお、ChromeでRC4暗号を使ったHTTPSサイトに接続すると「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」とのエラーと「このウェブページにアクセスできません」との文字列が表示される。
モダンブラウザでもRC4暗号しか使えないサイト一覧 (更新) (スコア:0)
日本っぽいドメインで、未だRC4しか使えないサイトを再度挙げてみます (前回はこちら [security.srad.jp])。
https://auth.hitachi-capital.co.jp/ [hitachi-capital.co.jp]
https://www.a-pat.jra.go.jp/ [jra.go.jp]
https://www.mimizun.com/ [mimizun.com]
https://www.soukai.com/ [soukai.com]
https://www.taku3.net/ [taku3.net]
https://www.mitsubishimotors-mirage.com/ [mitsubishi...mirage.com]
以下はtwitterより。
https://vpcevssl.lifecard.co.jp/ [lifecard.co.jp]
https://oh-o2.meiji.ac.jp/ [meiji.ac.jp]
Vプリカ…
Re: (スコア:0)
有効期限切れだったりLocation: http:~だったり、わけもなくHTTPSが開いてそうなサイトね
Re: (スコア:0)
Vプリカは、ログイン画面がRC4で、ログイン後はSHA-1だったわ。
いや、どうしてこうなってる
Re: (スコア:0)
ログイン前も後もTLS_RSA_WITH_RC4_128_SHA (TLS1.2)ではないですか?
あとRC4は暗号化ですが、SHA-1はハッシュ関数ですよ。
Webmin (スコア:0)
Re:Webmin (スコア:1)
Firefoxも来週の44から無効化予定 (スコア:0)
IE11/Edgeの具体的な日程は不明だけど、普通に考えると2月の月例更新に含まれるのかな。
Re: (スコア:0)
https://www.ssllabs.com/ssltest/viewMyClient.html [ssllabs.com]
User Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2486.0 Safari/537.36 Edge/13.10586
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Forward Secrecy 256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Forward Secrecy 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)
Re: (スコア:0)
RC4暗号はフォールバックでしか送らないからssllabsのテストでは検出できないだけ。Chrome 47もFirefoxも検出されない。
Re:Firefoxも来週の44から無効化予定 (スコア:1)
https://rc4.badssl.com/ [badssl.com] にアクセスしてみれば、Edgeはまだ対応していることがわかる。
Chrome 45の (スコア:0)
TLS 1.0へのクライアント側フォールバック廃止に対応したときついでにRC4依存が修正されたところもある。
クロネコメンバーズとか。