みずほ銀行のWebサイト、再びHTTPSでのアクセスが可能に 19
ストーリー by hylom
こんなことで話題になってしまうみずほ銀行 部門より
こんなことで話題になってしまうみずほ銀行 部門より
Printable is bad. 曰く、
2004年11月27日以降、みずほ銀行のWebサイトにHTTPS(SSL/TLS) で接続すると 「https://www.mizuhobank.co.jp/~は2014年11月27日よりご利用いただけなくなりました」 というエラーメッセージが表示されるようになったことが時代に逆行しているとスラドでも話題になったが、2015年4月10日現在、再びHTTPSでアクセスできるようになったようだ(みずほ銀行のトップページ)。なお、この件について、みずほ銀行はプレスリリース等による告知を行っていないが、EV証明書の有効期間が延長されていることから、恒久的な対応であると思われる。
みずほ銀行は、邦銀で唯一インターネットバンキングでトランザクション認証を導入(2015年3月15日)している銀行であり(過去記事)、今後ともセキュリティの強化を期待したい。
どうせ切れるまでの暫定的な対応なんでしょ? (スコア:2, 参考になる)
× 恒久的な対応であると思われる
○ 2015年12月31日までの期間限定の対応であると思われる
Re:どうせ切れるまでの暫定的な対応なんでしょ? (スコア:2, 参考になる)
証明書の有効期限が2015年12月31日までなのはChromeのSHA-1証明書廃止予告対策でしょう。
Re: (スコア:0)
SHA2にすればよくない?
Re: (スコア:0)
SHA-2に対応していないブラウザ(一部のガラケーとか)をサポートできなくなるのでHTTPSのサポートを終了する予定だったけど、批判が強かったので引っ張れるだけ引っ張ることにしたとすると2015年12月31日までの期間限定説も真実味を帯びてくるな
Re: (スコア:0)
そういやSHA-1の警告を開始したChrome 39は2014年11月リリースだった。
Re: (スコア:0)
タレ主さんは『HTTPSを復活させただけでなく証明書も更新しているということは、恒久的に提供する意思があるのだろう』と考えたのだろうけれど、#2744410 [srad.jp]によると1月末の時点でどのみち証明書の有効期限は切れていたようだから、証明書が更新されたからといって『恒久的な対応』とは言い切れないですね。
とはいえ各所からの指摘を受けて認識を改めたということだとは思いますが。
Re: (スコア:0)
甘いな。
だって、みずほだぜ?
銀行も一年単位の予算なのかねぇ (スコア:0)
2015年末までってことは一年のEV SSL証明書な訳ですが、サイバートラストなら1/2年のEV SSL証明書を売ってます [cybertrust.ne.jp]。それでも一年というのは予算執行の範囲なのかしら?
ついでに言えば年末に証明書入れ替えるのマンドクサという気もするけど、年末はオンラインバンキングも止めるから問題なしなんだろうか?
ビジネス&セキュリティに強いところに、ツッコミ取材してほしいなぁ
Re:銀行も一年単位の予算なのかねぇ (スコア:2, 参考になる)
別ツリーでもコメントしましたが、ChromeのSHA-1証明書廃止予告対策だと思います。
Re: (スコア:0)
有効期間は365日だから、正確に切れる直前に発行された証明書でない限り年々前倒しされてくけどね。
# 有効期間が380日とか395日の製品があったらすごく売れると思うんだけど。
Re: (スコア:0)
証明書にはnot before(期限開始日時)を指定できるから、前の証明書の期限切れちょうどに発効するようにすればいいのでは。
Re: (スコア:0)
日本において法人取引で入手しやすい証明機関(Verisign, GeoTrustの再販, GlobalSign, Comodo など)は
有効期限前に購入手配すれば有効期限+1年+アルファの期間ボーナス付きで発行してくれる場合がほとんどだよ
だから計画立てて更新している限りにおいて、ほとんどの場合、前倒しではなく後ろにずれていく。
2004年11月27日以降、 ? (スコア:0)
> 2004年11月27日以降、
10年前の話ですか?
Re: (スコア:0)
安定のはいろむクオリティー
Re: (スコア:0)
元タレコミからそのままコピーしたミスを責めてはいけません。改悪されてもっとひどくなります
Re: (スコア:0)
そうだね。typoしたタレコミ人を責めるべきだねw
どうしてSHA-1? (スコア:0)
一度繋がらない状態にしてしまったなら、レガシーな環境を切り捨ててSHA-2に乗り換えるいい機会だったと思うんですが。
Re: (スコア:0)
ガラケーの対応かしら?と思うてみたり。
Re: (スコア:0)
すでにChrome41でアクセスするとEV SSLの緑色+組織名のアイコンではなく、錠に黄色三角というアイコンになってるのでなんで今さらSHA-1にしたんだっていう。