グーグルさんはChromeのVer.45でちょっと面倒なセキュリティアップデートを仕掛けてきましたね。
それは、Chromeで接続すると「SSL サーバーが古い可能性があります。」 と出てサイトに接続ができないというもの。
その理由、原因を探ります。
Chromeで接続すると「SSL サーバーが古い可能性があります。」これはなんだ?
一体何が行われているのでしょう。
ChromeのVer45以降でhttpsでアクセスすると、一部のサイトで
SSL サーバーが古い可能性があります。
ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION
というメッセージが出てくるようになりました。
さらに「詳細」をクリックすると以下のようなメッセージが。
サーバーに安全に接続できません。このウェブサイトは以前は利用できていた可能性がありますが、サーバーに問題があります。こうしたサイトに接続すると、すべてのユーザーにセキュリティ上の問題が生じるため、接続は無効になりました。
なんだかよく分かりませんが、とにかくサーバ側の設定問題である可能性が濃厚ですね。
原因と思われるもの
SSLと言うメッセージからは、POODLE問題が出た、SSL3.0があやしいのですが、どうやら今回はSSL3.0では無い模様。
どうも犯人はTLS1.0のようです。
今回のグーグルさんの対処はTLS1.0への安全でないフォールバックの廃止。
ここの文章の「安全でない」というところがポイントのようで、TLS1.0が全面的に廃止されているわけではないんです。
例えばミスドのサイトなんかはTLS1.0とSSLv3が許可されていますが、ちゃんとTLS1.0を使って接続できます。
プロトコルのチェックを含め、SSLのチェックならSSL labsで。
ここはサーバ側の実装の部分になるので、よくわからなければサーバベンダに聞くのが良いですが、中にはSSL3.0を無効にするとこれが解消されることもあるらしく問題をよくわからなくしています。
とはいえ、この対処で改善する可能性はあるので、
「ベンダに聞くのはちょっと、、、」
と言う場合は、とりあえずSSL3.0を無効化しても良いかもしれません。
それでもだめなら、後は、アップデートしたり、パッチ当てたりですかね。
グーグルさんの動きはちょっと行き過ぎることもあるので、注意してないと怖いですね。
今回もSSL/TLSとは言え、SSLサーバ証明書の問題ではないので、認証局に聞くのはお門違い。
気をつけたいところです。
コメント