パスワードを忘れた? アカウント作成
10789 story

FirefoxがSSL 2.0のサポートを廃止へ 29

ストーリー by Acanthopanax
チェックを外す 部門より

Anonymous Coward曰く、"Mozilla FirefoxがSSL 2.0のサポートを廃止する計画が進行中だ。SSLは安全な通信のためになくてはならないものだが、2.0にはセキュリティに関する多くの欠陥がある。そのため、Firefoxは新しくて安全なSSL 3.0とTLS 1.0だけをサポートすることになる。
Firefox 1.0.xでは、GUIからSSL 2.0の利用を簡単に停止できる。停止すれば安全になるうえ、自分が運営・利用しているウェブサイトがSSL 2.0を必要としていないかどうかもチェックできてお得だ。SSL 2.0が必要なウェブサイトを発見したら、根回しをよろしく。ちなみに、IE6はデフォルトでSSL 3.0が有効なので、サーバーでSSL 2.0を停止してもIE6からのアクセスに問題はないので、ご安心を。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by syun1rou (9886) on 2005年09月07日 8時16分 (#794752) 日記
    httpd.confのSSLCipherSuiteの設定によっては、SSL3.0だけど暗号化なしとなる場合もあるので、
    「SSL 2.0無効→接続→つながった→めでたしめでたし」とはなりません。
    SSLで保護するサイトを提供している人は、サーバのログもちゃんと確認しましょう。
    # まあ、そうなる可能性があるというだけで、具体的な例を出すことはできないんですが。
    ## SSLCipherSuiteから「+eNULL」を抜いてあるサイトでは関係ない話です。
    • 暗号化してなくてもべつにいいのですが、証明書が確認できれば、とりあえずそれでいいです。
      信頼できる証明書がどれなのか把握してないと、暗号化されててもだまされたら意味ないですし、社内などから接続しない限り、通信経路を盗聴されることってほとんどないと思うので。
      スパイウェアなんかはSSL関係なしにブラウザ画面盗聴するし。
  • 重箱の隅ですが (スコア:3, すばらしい洞察)

    by riji (27518) on 2005年09月07日 10時11分 (#794817) ホームページ 日記
    「中止」より「廃止」とかのほうが訳として適当でしょうねぇ。
  • 部門名 (スコア:2, 興味深い)

    by Anonymous Coward on 2005年09月07日 8時00分 (#794743)

    Netscapeユーザーな私も設定を確認しましたよ。Operaな人とかはどうしてるんかな。

    • Re:部門名 (スコア:2, 参考になる)

      by uhyorin (10375) on 2005年09月07日 9時12分 (#794770) ホームページ 日記
      Operaな人向け。
      ツール→設定(Ctrl+F12)→詳細設定タブ→セキュリティ→セキュリティプロトコル を開いて、一番上のチェックボックス「SSL 2を有効にする」を外す。

      次期バージョンでは、FireFoxに追従する形でいいからデフォルトで「SSL 2を有効にする」のチェックが外れているといいな。
      親コメント
      • by seoth (17664) on 2005年09月07日 9時24分 (#794783)
        > FireFoxに追従する形でいいからデフォルトで「SSL 2を有効にする」のチェックが外れているといいな。

        タレコミやリンク先を見ると、SSL 2.0を有効にする機能そのものがFirefox標準では提供されなくなるように読めます。
        親コメント
    • ついでにKonqueror (スコア:2, 参考になる)

      by SteppingWind (2654) on 2005年09月07日 12時20分 (#794900)

      設定→暗号→SSLタブ, と来て「SSLv2を有効にする」スイッチを外せばOKですね.

      親コメント
    • by sylphide (21133) on 2005年09月07日 9時19分 (#794777) 日記
      Opera8.01の設定ダイアログはこんな感じです。

      □[SSL 2を有効にする]
      □[SSL 3を有効にする]
      □[TSL 1を有効にする]
      □[TSL 1.1を有効にする]

      デフォルトではSSL2.0は有効になっていたのでチェックはずしておきました。
      親コメント
    • Safariでは..... (スコア:1, 参考になる)

      by Anonymous Coward on 2005年09月07日 9時56分 (#794802)
      無効に出来ないみたいです。
      (環境設定で詳細を設定出来ないっぽい....)
      親コメント
  • やや意味不明 (スコア:2, すばらしい洞察)

    by blackdragon (20912) on 2005年09月07日 8時05分 (#794745)
    >ちなみに、IE6はデフォルトでSSL 3.0が有効なのでご安心を。

    FireFoxもSSL 3.0は有効ですよね?
    その上で、SSL 2.0有効だったのを無効にするって話ではないのですか?
    とすると、IE6でSSL 3.0がデフォルトで有効なのかどうかが問題なのではなくて、SSL 2.0有効なのかどうかが問題なのでしょ?
    • by seoth (17664) on 2005年09月07日 9時16分 (#794774)
      Firefox1.0xもIE6.0も「SSL2.0を使用する」「SSL3.0を使用する」の両方に最初からチェックされてますね。
      「Firefoxでは停止すべし」「IE6はデフォルトでご安心を」とはこれいかに。
      親コメント
    • 前の文からの流れで、「サーバー側でSSL 2.0を停止しても、IE6でもSSL 3.0が有効なので、(シェアの高い)IE6で問題が出ることはない」と解釈したのですが。

      親コメント
      • by Anonymous Coward
        ではそのように書くべきかと。
        今の文脈では”IEを使ってる人は気にしなくていいんだ”と解釈できてしまいます。
      • by Anonymous Coward
        SSL 3.0も止めると、TLS ちゃんと使ってくれるんだろか。
        そういえば、@niftyの一部がSSL 2.0有効にしないと使えなかった気がします。
        Sunのサイトは、FirefoxでOCSPを有効にすると、つながらんというメッセージが出てました。
        どちらも1年ほど前のことですが、今はどうだか知りません。
        • by 9g (26115) on 2005年09月07日 16時43分 (#795020)
          SSL 2.0を切っていると@niftyでは時々
          SSLバージョン 2 が無効になっているため ad.nifty.com に接続できません
          と、出ますね。

          #困らん・・。
          親コメント
  • by Anonymous Coward on 2005年09月07日 11時26分 (#794854)
    2.0にはセキュリティに関する多くの欠陥がある。
    どんな欠陥なのでしょうか。解説希望。
    • [SSL-Talk List FAQ] Secure Sockets Layer Discussion List FAQ v1.1.1 [opennet.ru] の "4.11) What is the difference between SSL 2.0 and 3.0?" にはいくつかの脆弱性が列挙されています。その筆頭は

      1. SSL 2.0 is vulnerable to a "man-in-the-middle" attack.

      つまり、サーバとクライアントの間に入って双方の通信を覗き見・改変できる脆弱性がプロトコル仕様自体に見つかっています。これだけでも使用を差し控えるに十分です。

      親コメント
      • その理解はちょっと違うのでは?
        それは、man-in-the-middleの方法で、使用する暗号の強度を下げられる攻撃があり得るという話です。
        直ちに「双方の通信を覗き見・改変できる」という話ではありませんね。
    • > どんな欠陥なのでしょうか。

      つ["SSL 2.0" 脆弱 [google.co.jp]]
      • 検索結果をざっと見渡す限り、バッファオーバーフローということですか?
        • by syun1rou (9886) on 2005年09月07日 12時53分 (#794932) 日記
          実装上の脆弱性とは別に、サポートするアルゴリズムが古くて少ない、というのがあります。
          認証の仕組みが3.0で強化されて、より厳密に行えるようになった、ような記憶もあります(うろ覚え)。
          プロトコル自体が、「欠陥」は言い過ぎだとしても、現在使うには脆弱である、
          と言えると思います。

          参考:IPAの「SSLの解説」
          http://www.ipa.go.jp/security/fy10/contents/over-all/02/22.html
          親コメント
  • by Anonymous Coward on 2005年09月07日 21時02分 (#795169)
    > SSL 2.0が必要なウェブサイトを発見したら、根回しをよろしく。

    こんな感じ?

    クレーマ:おたくのサイト、SSL 2.0でないとつながらないのですが。
    サポセン:それではまずお客様のパソコンのメーカーを教えてください。
    クレ:ハァ?関係ないでしょそんなの。
    サポ:Windows ME ですか?
    クレ:Windows 2000 ですが。
    サポ:Windows XP ですね。
    クレ:・・・。
    サポ:それではどのような症状でしょうか。
    クレ:SSL 2.0をオフにしているとログインできません。
    サポ:当サイトにはクッキーとジャバスクリプトが必要です。有効にしてください。
    クレ:それは有効です。SSL 2.0をオフにしたらと言っているんですが。
    サポ:SSLですね・・・。
    クレ:はい。
    サポ:当サイトは米国ベリサイン社の最高レベルの128ビット暗号SSLを使用しておりますので、お客様の個人情報が漏洩することはございません。ご安心ください。
    クレ:いやだから、SSL 2.0をオフに設定していると、そもそもつながらないんですよ。
    サポ:SSLをオフに?どのように設定なさっているのでしょうか?
    クレ:Firefoxで詳細のところのセキュリティのところでSSL 2.0のチェックボックスをオフにするんです。
    サポ:Firefoxはサポートしておりません。Internet Explorerをお使いください。
    クレ:ハァ?普通にFirefoxで使えていますよ。
    サポ:申し訳ございませんがFirefoxはサポート外となっております。
    クレ:・・・。じゃあIEでもいいですよ。IEの詳細設定で SSL2.0を使用するをオフにすると、おたくのサイトは使えなくなります。
    サポ:では、オフにしないでいただきたいのですが。
    クレ:SSL2.0は安全性に問題があるので使わないのが世の流れなのです。
    サポ:安全性ですか。SSLの安全性はベリサイン社の高度な技術によって保証されておりますがー。
    クレ:いやだからさー、SSL 2.0と SSL 3.0と TLS 1.0と、いろいろなバージョンがあるわけ。古い 2.0はもう使わない方がいいって言われてるわけ。
    サポ:しかし他のお客様は正常にお使いいただいております。とくにそういった苦情は入っておりませんが・・・。
    クレ:ですから、暗号が危ない状態で皆使っているわけです。
    サポ:・・・そうですか。それではそういった声があったことを伝えておきます。
    クレ:どう伝えるの?
    サポ:SSL 2.0をオフにしていると使えないという声がありましたと伝えます。
    クレ:それで伝えた先は意味がわかるの?
    サポ:私が責任を持って伝えます。
    クレ:・・・。(ほんとかよ)
    • なかなか優秀な (スコア:2, おもしろおかしい)

      by shiraga (14233) on 2005年09月08日 1時06分 (#795361)
      人口無能じゃないですか。
      親コメント
      • by Anonymous Coward
        元の例は当然フィクションですが、ここで優秀と判断されたのは
        「私が責任を持って」と(理解しているか、相手が満足するかは別に)、
        最低限の権限・対応の行使を約束しているからだと思いますが、
        より完全な人工無能メソッドは、お役所クラ
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...