1. bellx2

    No comment

    bellx2
Changes in body
Source | HTML | Preview
@@ -1,55 +1,67 @@
Chromeで突然「SSL サーバーが古い可能性があります」と出てアクセスできない現象が発生すると言われて調査したのでまとめておきます。
![スクリーンショット 2015-09-04 23.27.20.png](https://qiita-image-store.s3.amazonaws.com/0/14768/c61e9d39-c23e-8d9b-dca3-7dc09566dd92.png)
2015/9/3にリリースされたChrome v.45からアクセスできなくなったようで、IEやFirefox、Safariからだと問題無く見れているようです。
+追加情報をいただき、間違っているようでしたので修正しました(15/9/4)
+
# 原因
-SSL3.0の脆弱性(POODLE)対策として実施されています。サーバー管理者はサーバー側で対策、クライアント側はブラウザーでSSL3を使わないような設定をするように告知されています。ブラウザ側での標準対応が進み、サーバー側で対策をしていない場合はセキュリティ警告表示が出てくるようになっています。
+Chrome 45から「TLS 1.0への安全でないフォールバック」が無効にされたことが原因との事です。
+https://code.google.com/p/chromium/issues/detail?id=498998
+
+~~SSL3.0の脆弱性(POODLE)対策として実施されています。サーバー管理者はサーバー側で対策、クライアント側はブラウザーでSSL3を使わないような設定をするように告知されています。ブラウザ側での標準対応が進み、サーバー側で対策をしていない場合はセキュリティ警告表示が出てくるようになっています。~~
-その対策が一歩進められ、Chrome v45からは警告表示が出てサイト自体が見れないようになった模様です。
+~~その対策が一歩進められ、Chrome v45からは警告表示が出てサイト自体が見れないようになった模様です。~~
# 調査方法
以下のサイトでSSLの有効状況を調査する事ができます。
https://www.ssllabs.com/ssltest/
-画像のようにSSL3.0が有効になっている場合に「SSLサーバーが古い可能性があります」と表示されてアクセスできなくなります(Chrome)
+画像のようにSSL3.0が有効になっている場合に「SSLサーバーが古い可能性があります」と表示されてアクセスできなくなる場合が多い模様です
![ssl3.jpg](https://qiita-image-store.s3.amazonaws.com/0/14768/5b91f3d7-dcc5-fa03-fbad-7b2e2d6837bf.jpeg)
# 対応方法
-サーバー管理者がSSL3.0を無効にする必要があります。サーバー側の設定なので利用者側で回避はできません。どうしてもアクセスする必要がある場合は、セキュリティ上問題はありますがIEやFirefoxなどの他のブラウザー使う必要があります。
+サーバー側でSSL3.0を無効にする事で「TLS1.0への安全で無いフォールバック」が行われなくなる模様です(確実では無い模様。
+
+~~サーバー管理者がSSL3.0を無効にする必要があります。サーバー側の設定なので利用者側で回避はできません。どうしてもアクセスする必要がある場合は、セキュリティ上問題はありますがIEやFirefoxなどの他のブラウザー使う必要があ
+ります。~~
+
+## Chrome側で対応する場合(非推奨)
+
+Chromeを起動するショートカットを編集して、オプションに「--ssl-version-fallback-min=tls1」を指定することで回避できますが、セキュリティリスクがあります。
## Windows IIS
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
## Apache (Linux)
/etc/httpd/conf.d/ssl.conf のSSLProtocolを変更します(mod_ssl)
```/etc/httpd/conf.d/ssl.conf
SSLProtocol All -SSLv2 -SSLv3
```
※SSL2.0 3.0以外は全て使う設定
## WindowsXP対応
ただし、SSL3.0をオフにするとXP(IE6ユーザー)がそのままでは接続できなくなる可能性があります。ページが見れなくなった場合は「インターネットオプション→詳細設定」から「TLS1.0-1.2の使用」にチェックを入れる必要があります。
■参考
[@nifty SSL3.0脆弱性への対応に伴うブラウザー設定の確認のお願い]
(http://support.nifty.com/cs/suptopics/detail/150227478385/1.htm)
# 参考
-IPAからでている以下の情報が良くまとまっています。
+IPAからでている以下の情報がSSL3.0の脆弱性については良くまとまっています。
[SSL 3.0 の脆弱性対策について(CVE-2014-3566)]
(https://www.ipa.go.jp/security/announce/20141017-ssl.html)
# ぶつぶつ
クロネコの再配達ページの管理者様早くなおしてあげてください!