IE7ユーザーにいまさらSSL2.0を使わせようとする銀行
インターネットバンキングでのFirefox推奨状況を確認していた時に気が付いたのだが、Internet Explorer 7ユーザーに対して、SSL2.0を使うように設定変更を促している銀行が目に付いた。これらの銀行では注意書きとして『Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。』などと書かれているので、一般ユーザーならばチェックしなければならないものと思ってしまうのではないだろうか。
Internet Explorer 7 における HTTPS セキュリティの強化点 (Windows IETechCol)にも記述があるように、SSL2.0はセキュリティの問題が理由でIE7の標準設定から外されたのだが、このような銀行の対応は問題を全く無視しているとしか思えない(それとも、問題自体を知らない?)。もうちょっとまともな対応は出来ないのだろうか?
マイクロソフトによるWeb開発者への説明はどうなっているか、アプリケーションおよび Web 開発者、IT Pro 向け Internet Explorer 7 互換性チェック リストを確認したところ、確認項目として「 SSL2.0 より上のプロトコルを利用する」と書かれていた。この記述だと2.0が利用プロトコルに含まれているようにも読めてしまう。正しくは「(SSL2.0は利用せずに)SSL2.0よりも上位のSSL3.0プロトコル等を利用する」ではないだろうか?マイクロソフトの説明がこれでは銀行側が間違えるわけだ(涙)。
数年前に高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイトなどでも同様の指摘があるだけに、銀行はもうちょっと頑張ってコンテンツ内容の見直しをした方がよいのでは?と感じた。
なお、サーバ側でSSL2.0を使えなくしてしまうことの意義、SSL通信での暗号強度のチェック方法については、高木浩光@自宅の日記 - Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号が参考になる。
IE7ユーザーに対してSSL2.0を使わせようとする銀行一覧(記述はリンク先を参照)。
IE7への言及はないが、SSL2.0にチェックを入れるように説明している銀行等の一覧。
(SSL3.0が必要になった頃の説明と思われる)
- 佐賀共栄銀行 [きょうぎん法人WEBサービス]
- SSLの設定(Internet Explorer6.0以上) イーバンク銀行
- その他(パスワード・メールアドレス登録等)│八十二銀行
- 肥後銀行 肥銀ビジネスインターネットバンキング〜ご利用環境
- ビジネット−さんぎんビジネス用インターネットバンキングサービスホームページ−第三銀行
- 法人向けインターネットバンキング:SSLのチェック|東邦銀行
- 大垣共立銀行スーパーネット21
- ご利用環境 | みなと銀行
- 114サリュスクエアにアクセスできないとき - 百十四銀行
- 「I-Navi(アイナビ)」にアクセスできないとき | 岩手銀行
- 沖縄銀行 | おきぎんeパートナー
- eバンクサービスからのお知らせ【鹿児島銀行】
- 関東つくば銀行 - インターネットバンキングQ&A
- 阿波銀行:ここが知りたいQ&A
- 広島銀行:ビジネスWebサービス サービスのご案内
- 法人のお客さま ネットバンク スターBB! サービスのご案内:東京スター銀行
- いよぎんインターネットEB ご利用環境-SSLのチェック
- サービスのご案内:商工中金ビジネスWEB