【悲報】 Yahoo Japan、 SSL ページの移行延期のお知らせ

XP SP3以降必須になるというYahooページにWin2000のIE6でアクセスしてみた
Windows 2000でSSLのページが SHA-2 になってるのを確認したので移行できたものだと思っていたのですが、
ログインページが『TLS 1.0, RC4 with 128 bit encryption (High); RSA with 2048 bit exchange』になっているという XPユーザーの報告があったので調べてみました

E:\>TestSSLServer.exe login.yahoo.co.jp
Supported versions:
 SSLv3 TLSv1.0 TLSv1.1 TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
  SSLv3
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_RC4_128_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  (TLSv1.0: idem)
  (TLSv1.1: idem)
  TLSv1.2
     RSA_WITH_RC4_128_MD5
     RSA_WITH_RC4_128_SHA
     RSA_WITH_3DES_EDE_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     TLS_RSA_WITH_AES_128_GCM_SHA256
     TLS_RSA_WITH_AES_256_GCM_SHA384
     TLS_ECDHE_RSA_WITH_RC4_128_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
----------------------
Server certificate(s):
  ba22773982225d0b0a4130d8c81c573e55f369ff: CN=login.yahoo.co.jp, O=Yahoo Japan
Corporation, L=Minato-Ku, S=Tokyo, C=JP

あの・・・・これ、ダメなやつだと思います

www
わざと弱い証明書でしか接続できないようにしてみたところ、SHA-1の証明書を取得できた
2015/12/31まで有効。

つまり、セキュリティアップデートしていない脆弱性のある XPのIE6でも今年いっぱいログインはできるということ

jp.mg5.mail.yahoo.co.jp のSSL証明書もおなじ設定だから全部共通。
恐らく12月末までは接続できるんじゃないかと…。
ほんとうに12月まで段階的に切っていくって訳ですね…。

|。・ω・)。o ( そんなの、アナウンス通り切っちまえよ。アホすか? )

つまり…まとめると

2015年10月1日 SHA-2で接続できるようになるけど、セキュリティホールのある接続もできる様に残しておくよ
2015年12月31日 SHA-1の証明書が切れるので、多分古いIEだと接続できなくなるよ!

|。・ω・) 。o (こうですか?意味がわかりません)

「SHA-1の廃止前倒しを」 専門家チームが提言 - ITmedia エンタープライズ

時代と逆行するYahoo ! Japan
SSLv3許可して、最弱のアルゴリズム許可するんじゃなくて、もう少しどうにかならなかったのか

おすすめ

4件のフィードバック

  1. yoka より:
    2015年10月14日 5:51 PM

    ため息しか出ません。
    先月の記事にコメントしておいて本当に良かったと思います。

    返信
  2. AMD785G より:
    2015年10月15日 5:29 PM

    自分はガラケーつかってますがガラケーブラウザー対応とかそういう意味でしょうか?

    返信
  3. このブログに感謝 より:
    2015年10月16日 2:13 AM

    https://login.yahoo.co.jp/
    XPで接続
    ログイン – Yahoo! JAPAN
    TLS 1.0、RC4 / 128 ビット暗号 (高); RSA / 2048 ビット交換
    sha1RSA
    CN = GlobalSign Organization Validation CA – G2
    CN = login.yahoo.co.jp
    公開キー RSA(2048Bits)
    捺印アルゴリズム sha1

    返信
  4. このブログに感謝 より:
    2015年10月16日 3:53 AM

    TLS 1.0、AES 128 / 128 ビット暗号 (高); RSA / 2048 ビット交換
    sha256RSA
    CN = Google Internet Authority G2
    XP IE8
    DEF CON Media Server
    https://media.defcon.org/
    Internet Explorer ではこのページは表示できません
    https://jp.globalsign.com/support/faq/539.html
    sha256RSA

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です