Chrome
Apache
SSL
IIS

「SSL サーバーが古い可能性があります」と出る場合の対処方法(サーバー管理者)

More than 3 years have passed since last update.

Chromeで突然「SSL サーバーが古い可能性があります」と出てアクセスできない現象が発生すると言われて調査したのでまとめておきます。

スクリーンショット 2015-09-04 23.27.20.png

2015/9/3にリリースされたChrome v.45からアクセスできなくなったようで、IEやFirefox、Safariからだと問題無く見れているようです。

追加情報をいただき、間違っているようでしたので修正しました(15/9/4)


原因

Chrome 45から「TLS 1.0への安全でないフォールバック」が無効にされたことが原因との事です。

https://code.google.com/p/chromium/issues/detail?id=498998

https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/F6ZjP6FnyRE/bK7TKtvnHYsJ


調査方法

以下のサイトでSSLの有効状況を調査する事ができます。

https://www.ssllabs.com/ssltest/

グレードFは重大なセキュリティエラーがある場合です。

ssl.jpg

alert.jpg


対応方法


サーバー側


  • OpenSSLのバージョンを上げる必要があります。

  • SSL3.0がいまだに有効になっているところも多いので、無効にします。

SSL 3.0 の脆弱性対策について(CVE-2014-3566

※TLS1.0のみしかONになっていない場合は、SSL3.0をOffにする事でアクセスできるようになるという話しもあります(未検証。


Chrome側で対応する場合(非推奨)

Chromeを起動するショートカットを編集して、オプションに「--ssl-version-fallback-min=tls1」を指定することで回避できますが、セキュリティリスクがあります。


ぶつぶつ

クロネコの再配達ページの管理者様早くなおしてあげてください!