読者です 読者をやめる 読者になる 読者になる

IE7ユーザーにいまさらSSL2.0を使わせようとする銀行

browser security SSL

インターネットバンキングでのFirefox推奨状況を確認していた時に気が付いたのだが、Internet Explorer 7ユーザーに対して、SSL2.0を使うように設定変更を促している銀行が目に付いた。これらの銀行では注意書きとして『Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。』などと書かれているので、一般ユーザーならばチェックしなければならないものと思ってしまうのではないだろうか。

Internet Explorer 7 における HTTPS セキュリティの強化点 (Windows IETechCol)にも記述があるように、SSL2.0はセキュリティの問題が理由でIE7の標準設定から外されたのだが、このような銀行の対応は問題を全く無視しているとしか思えない(それとも、問題自体を知らない?)。もうちょっとまともな対応は出来ないのだろうか?

マイクロソフトによるWeb開発者への説明はどうなっているか、アプリケーションおよび Web 開発者、IT Pro 向け Internet Explorer 7 互換性チェック リストを確認したところ、確認項目として「 SSL2.0 より上のプロトコルを利用する」と書かれていた。この記述だと2.0が利用プロトコルに含まれているようにも読めてしまう。正しくは「(SSL2.0は利用せずに)SSL2.0よりも上位のSSL3.0プロトコル等を利用する」ではないだろうか?マイクロソフトの説明がこれでは銀行側が間違えるわけだ(涙)。

数年前に高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイトなどでも同様の指摘があるだけに、銀行はもうちょっと頑張ってコンテンツ内容の見直しをした方がよいのでは?と感じた。

なお、サーバ側でSSL2.0を使えなくしてしまうことの意義、SSL通信での暗号強度のチェック方法については、高木浩光@自宅の日記 - Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号が参考になる。