【悲報】日本最大標準の決済サイトECONTEXT が酷すぎる件(2回目)

ライブドア レンタルサーバーの決済システムが酷すぎる件
以前話題にした econtext ( www5.econ.ne.jp )の件です

Firefoxでアクセスすると、

安全な接続ができませんでした

www5.econ.ne.jp
への接続中にエラーが発生しました。 Peer reports incompatible or unsupported protocol
version. (エラーコード: ssl_error_protocol_version_alert)

    受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
    この問題を Web サイトの管理者に連絡してください。あるいは [ヘルプ] メニューの [不具合のあるサイトを報告] でこのサイトについて報告してください。

eco5

つまり、『このサイトは危険だから接続を遮断しました!』ってエラーです。
econ.ne.jp こと econtext はセコムホームセキュリティをはじめ、チケットぴあなど、日本の決済システムの中枢のシステムなんですが、大丈夫なんでしょうか?

というわけで調べてみました。


Qualys SSL Labs - Projects / SSL Server Test / www5.econ.ne.jp
eco
取り敢えず、つきなみですが、 QUALYS' SSL LABSの結果。

No secure protocols supported (安全なセキュリティプロトコルが存在しません!)

※接続できない場合は www 等のプレフィックスを取り除いて試してみてね、とありますが、サーバー内でリダイレクトされてる場合の話 ですし、除去すると econ.ne.jp (124.109.181.8) になって別のサーバーになります。
まぁ、こちらも同じエラーなのですが…。

Supported versions:
 SSLv3 TLSv1.0
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
  SSLv3
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
  TLSv1.0
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
----------------------
Server certificate(s):
  aae005c2eb98996ceb9eca43baddcc54938418cf: CN=www.econ.ne.jp, OU=SystemDevelopm
ent, O="ECONTEXT, INC.", L=Shibuya-ku, S=Tokyo, C=JP
----------------------
Minimal encryption strength:     strong encryption (96-bit or more)
Achievable encryption strength:  strong encryption (96-bit or more)
BEAST status: protected
CRIME status: protected

自堕落な技術者の日記 : JRE 1.4-1.6やAndroidのAPIを使ったHTTPS接続のCipherSuitesがRC4-MD5を優先しているかなりヤバい話 - livedoor Blog(ブログ)
Security Labs: Is BEAST Still a Threat? | Qualys Community
Security of RC4 Stream Cipher
そういわれてみれば、IEや、携帯でつなぐと見れるんだよね

チケットぴあ お支払情報
eco4

TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
ASP.NET Server Page

1.通常のSSLv3は弾いてるみたいだけど、もしかして、SSLv3 で、かなり古い暗号モードしか使っていなければ接続できる?
2.TLSv1.0しかサポートしてない癖に、BEAST 対応されてないCBCモード、もしくは最近攻撃が報告されているRC4が使われている。

Why No Padlock? - Why is my SSL web page insecure? Find the culprit!
eco2
こっちのサイトでは POODLE の脆弱性もあるって出るので、一部の端末ではやっぱ接続できるのかも。

SSL Checker - SSL Certificate Verify

eco3
もう一つ 残念なお知らせ、一部のサーバは IIS/8.0になってましたが、幾つかのサーバーが サポート終了半年を切ってるの 2003 Server もしくは XP で動作してる模様

日本の決済システムほとんどここ使ってるはずなんだけど大丈夫なんだろうか・ω・?
多分、携帯などからのアクセスを想定してるみたいなので、表に出てこないみたい…大丈夫?。
※ IISなので、 HeartBleed は影響を受けない。

( ^o^) 。o (あれ、Firefoxで接続できない。脆弱なサイト?)
( ˘⊖˘) 。o( そんな馬鹿な!)
|| ┗(☋` )┓三  。o ( ちゃんと調べてみよう )
( ◠‿◠ )☛  。o ( CVE-2011-3389(BEAST) CVE-2013-2566(RC4) CVE-2014-3566(POODLE)の脆弱性があるよ )
▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ

おまけ:
Win95 で TLS 無効 SSL v3.0有効にしてつないでみた結果
tls

_人人人人人人人人人人人_
> POODLE対応不完全! <
 ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y ̄

おすすめ

1件の返信

  1. 774 より:
    2015年2月12日 10:34 AM

    今月のPatch Tuesdayはないの?

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です