| 2018/05/18(Fri) 20:06:11 編集(投稿者)
Ktree のサイトだが、今年3月にセキュリティの関係で 長い期間、停止し、TLS 1.0 を無効化するとかアナウンス されていたが、TLS 1.0 はおろか、SSL 3.0 も有効な ままのようだ。
何やってるとの言うことで、メールした。
---------------------------------------------------------- 御社のWEBサイトは、3月のメンテナンスで TLS 1.0 は無効化し、TLS 1.1 以降でのみ 接続をサポートするとのことですが、本当に そのようになっておりますでしょうか!?
ブラウザの設定で TLS 1.0 のみを使用する ように設定しても TLS 1.0、AES / 256 ビット暗号 (高); ECDH_P256 / 256 ビット交換 で、設定できるようですし、SSL 3.0 も有効 になっているようです。
ブラウザの設定と
https://cryptoreport.websecurity.symantec.com/checker/
にて、www.kthree.co.jp を指定して確認。
警告 RC4 サーバーの暗号化設定は脆弱です。 このサーバーは安全ではない RC4暗号アルゴリズムを使用します。 詳しくは。SSLv3サーバーの暗号化設定は脆弱です。
このサーバーは安全ではないSSLv3プロトコルを使用します。 詳しくは。
このサーバーは以下に対して脆弱です。 プードル(SSLv3プロトコル) このサーバーはPoodle(SSLv3)攻撃に対して脆弱です。 詳しくは。
情報 獣 このサーバーはBEAST攻撃に対して脆弱です。 詳しくは。
などなど、複数の脆弱性を抱えているようです。
改善をお願いいたします。 ---------------------------------------------------------- ちなみに
https://globalsign.ssllabs.com/analyze.html?d=www.kthree.co.jp
でも、確認できますが、
いろいろ問題が指摘されます。 ----------------------------------------------------------
|