T.Ozakiの日記: メガバンク+ネット専業銀行のSSL対応状況(2017年11月版)
前回の2017年5月実施分はこちら。
評価基準は以下の通り。
---+------------------------------------------------------------
AAA|常時SSL HSTS Preload登録済
AA |常時SSL HSTS設定(Preload未登録)
A |常時SSL(HTTPからはリダイレクト転送)
A- |ランクA以上だが、設定にセキュリティ上の問題がある
---+------------------------------------------------------------
B |SSL/非SSL共に同一コンテンツでアクセス可能
B- |ランクBだが、設定にセキュリティ上の問題がある
---+------------------------------------------------------------
C |SSLは正しく設定されているが、コンテンツなし
---+------------------------------------------------------------
D |SSLは設定されているが、金融機関のサイトとして不適切な設定
|(OV証明書が使用されている)
---+------------------------------------------------------------
E |CDNの証明書が呼び出される等、SSL証明書が正しく設定されていない
|(コンテンツアクセス不可は"F"判定とする)
---+------------------------------------------------------------
F |問題外(SSLが設定されていない、SHA-1 EV証明書、DV証明書が使用されている等)
---+------------------------------------------------------------
なお、前回からはランク表記の一部変更( "A++" → "AAA" 、"A+" → "AA" )、SHA-1 EV証明書を "F" 判定に変更しました。
…が。
ぶっちゃげると、ほとんど変化はありません。(ぇー
微妙なところでは、セブン銀行が "F" 判定から非SSLサイトと同一コンテンツ表示(但しCDN証明書が呼び出される為 "E" 判定)になったのと、イオン銀行が Google Ads を非SSLで呼び出すというポカミスをぶちかましたため評価ダウン("B" → "B-")となっています。
なお、Symantecの証明書関連については次回(2018/5予定)が "A-"/"B-"/"D" 判定に、次々回(2018/11予定)が "F" 判定とする予定です。
あと本題とは関係ないですが、Enty(※リンク先18禁コンテンツを含むため注意)がEV SSL証明書の有効期限をブッチするというインシデントがあったそうで、現在はLet's Encryptの証明書を投入して凌いでいる模様。
とはいえ普通3ヶ月くらい前から通知があると思うので、今まで一体何をしていたんだろうな…。
というか、Let's Encryptは本当に一時凌ぎなんだよね?
メガバンク+ネット専業銀行のSSL対応状況(2017年11月版) More ログイン