アカウント名:
パスワード:
https://twitter.com/jstage_ej/status/1072773871353311234 [twitter.com]https://twitter.com/uwabami/status/1073061125762084865 [twitter.com]
J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日https://note.mu/note_s/n/n517ff243e083 [note.mu]
証明書入れ替えで設定ミスったのかな?あるっちゃあるのかも。繋いでみたけどFirefoxで普通に入れたけどな。
いや、cipher suitで(EC)DHE-RSAを使えばいいだけの話。証明書はRSAのままで鍵交換だけDiffie-Hellman系にするだけ。(証明書は鍵長もsignatureも十分に長いです。CAはDigiCert)
試してみましたが、ECDHE-RSA-AES128などをproposeしてもつながりませんね。普通につなぐとAES256-GCM-SHA384になる。TLS1.2以上のcipersuitだからECDHEにするのは多分設定だけ。
鍵交換でRSAしか受け付けないようになってるからでは?ってリプ付いてるだろ。だから設定かなって言ってるのに何が「いや」なのかさっぱり。てかなんで俺のFirefoxは普通に入れるんだ。そこを教えてくれ。
Firefoxの場合 [ssllabs.com]、基本的に鍵交換はECDHEじゃないとダメっぽくて、RSAじゃ受け入れないっぽい。ただし、互換性のためのTLS_RSA_WITH_AES_256_CBC_SHAが有効になっており、かつJ-stageもそれを再有効化したので(一番弱い方式で)つながるようになったみたいですね。
まぁ、ECDHEを有効にするのが対応としては良いと思いますが、HWでTLS/SSL対応とかしてると、そう簡単には対応できないかな。
てかなんで俺のFirefoxは普通に入れるんだ。そこを教えてくれ。
TLS_RSA_WITH_AES_256_GCM_SHA だった(未確認)のが、TLS_RSA_WITH_AES_256_CBC_SHA になってつながるようになったみたいです。
https://twitter.com/uwabami/status/1073109389349871616 [twitter.com]
証明書の入れ替えじゃなくてTLS1.0/1.1無効化作業での(おそらく見識不足が原因の)ミスだから「証明書入れ替えで設定ミスった」ではないっていう指摘なんじゃないの?
J-STAGE [jst.go.jp]は、現時点では信頼される署名 [ssllabs.com]が適用されているようです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
このへんも関係あるのかな? (スコア:1)
https://twitter.com/jstage_ej/status/1072773871353311234 [twitter.com]
https://twitter.com/uwabami/status/1073061125762084865 [twitter.com]
Re:このへんも関係あるのかな? (スコア:1)
J-STAGEがFirefoxでのアクセスを遮断、日本の電子ジャーナルが世界から不可視となった日
https://note.mu/note_s/n/n517ff243e083 [note.mu]
Re: (スコア:0)
証明書入れ替えで設定ミスったのかな?あるっちゃあるのかも。
繋いでみたけどFirefoxで普通に入れたけどな。
Re:このへんも関係あるのかな? (スコア:4, 参考になる)
いや、cipher suitで(EC)DHE-RSAを使えばいいだけの話。
証明書はRSAのままで鍵交換だけDiffie-Hellman系にするだけ。(証明書は鍵長もsignatureも十分に長いです。CAはDigiCert)
試してみましたが、ECDHE-RSA-AES128などをproposeしてもつながりませんね。
普通につなぐとAES256-GCM-SHA384になる。TLS1.2以上のcipersuitだからECDHEにするのは多分設定だけ。
Re: (スコア:0)
鍵交換でRSAしか受け付けないようになってるからでは?ってリプ付いてるだろ。
だから設定かなって言ってるのに何が「いや」なのかさっぱり。
てかなんで俺のFirefoxは普通に入れるんだ。そこを教えてくれ。
Re:このへんも関係あるのかな? (スコア:2, 興味深い)
Firefoxの場合 [ssllabs.com]、基本的に鍵交換はECDHEじゃないとダメっぽくて、RSAじゃ受け入れないっぽい。
ただし、互換性のためのTLS_RSA_WITH_AES_256_CBC_SHAが有効になっており、かつJ-stageもそれを再有効化したので(一番弱い方式で)つながるようになったみたいですね。
まぁ、ECDHEを有効にするのが対応としては良いと思いますが、HWでTLS/SSL対応とかしてると、そう簡単には対応できないかな。
Re:このへんも関係あるのかな? (スコア:1)
てかなんで俺のFirefoxは普通に入れるんだ。そこを教えてくれ。
TLS_RSA_WITH_AES_256_GCM_SHA だった(未確認)のが、
TLS_RSA_WITH_AES_256_CBC_SHA になってつながるようになったみたいです。
https://twitter.com/uwabami/status/1073109389349871616 [twitter.com]
Re: (スコア:0)
証明書の入れ替えじゃなくてTLS1.0/1.1無効化作業での(おそらく見識不足が原因の)ミスだから
「証明書入れ替えで設定ミスった」ではないっていう指摘なんじゃないの?
Re: (スコア:0)
J-STAGE [jst.go.jp]は、現時点では信頼される署名 [ssllabs.com]が適用されているようです。