6月中に日本の銀行のSSL/TLS対応状況を調べてみたけど、いよいよ7月に入ったのでクレジットカードの会社がどうなってるか調べてみた。なんで7月かというと前回も書いたけど、セキュリティ基準であるPCI DSSのv3.2では2018年6月30日、で脆弱性のあるSSL3.0とTLSv1.0の実装(使用)を無効化しなければならないとなっているから。 そのPCI DSSはクレジット会社用のセキュリティ基準。
| 会社名・カード名など | SSL 3.0 | TLS v1.0 | TLS v1.1 | TLS v1.2 | URL | その他 |
| アメリカン・エキスプレス・インターナショナル | 表示 | |||||
| ジェーシービー | 表示 | チェーン設定 | ||||
| 三菱UFJニコス | 表示 |  | ||||
| 株式会社クレディセゾン | 表示 | ROBOT | ||||
| SBIカード | 検査不能 | 表示 | ユーザー用サイト7月末で終了予定 | |||
| りそなカード | 表示 | |||||
| SAISON | 表示 | ROBOT | ||||
| 静銀セゾンカード | 表示 | |||||
| 三井住友トラストクラブ | 表示 | |||||
| イオンクレジットサービス株式会社 | 表示 | カード申し込みページ | ||||
| スルガ銀行 | 表示 | チェーン設定, POODLE, RC4, 弱いのしかない | ||||
| ゆうちょ銀行 JP BANK カード | 表示 | チェーン設定 ROBOT | ||||
| 三井住友VISA | 表示 | チェーン設定 ROBOT | ||||
| セディナ OMC Plus | 表示 | 弱いの優先 | ||||
| セディナ CF | 表示 | 何故か上よりマシ | ||||
| オリエントコーポレーション | 表示 | |||||
| ジャックス | 表示 | 弱い順 | ||||
| アプラス | 表示 | 弱いのしかない, ROBOT | ||||
| 楽天カード | 表示 | 弱いの優先 | ||||
| ワイジェイカード | 表示 | |||||
| ライフカード | 表示 | |||||
| アコム | 表示 | 優先順が変で結局弱い, ROBOT | ||||
| 全日信販株式会社 | 表示 | 弱いのしかない, POODLE, ROBOT | ||||
| 株式会社オーシー | 表示 | |||||
| 株式会社エポスカード | 表示 | RC4 | ||||
| 株式会社ビューカード | 表示 | 弱いのしかない | ||||
| 東急カード株式会社 | 表示 | |||||
| 株式会社NTTドコモ (DCMX) | 表示 | POODLE | ||||
| VISA | 表示 | 個人用ログインは無いのでトップページで | ||||
| Mastercard | 表示 | 個人用ログインは無いのでトップページで | ||||
リスト幅の制限でホスト名の「表示」にマウスカーソルを合わせるとホスト名を表示するようにした。クリックしちゃダメ。
クレジット会社はたくさんあってよくわからないので名前を聞いたことがあるような有名処っぽいところだけ。有名処でも抜けてるかも。
意外にもTLS1.2だけにしているところが結構多いという印象(いいね)。
PCI DSSが求めている「TLS1.0の無効化」をしていない場合は黄色を付けた。今回調べた中でドコモだけがSSL3.0を有効にしてた。滅びろ。
利用可能な暗号スイートはいくつか変な会社があったけど前回の銀行を調べたときと比べるとずいぶんとマシな印象。
「チェーン設定」を指摘しているところは例のシマンテック Secure Siteかシマンテック Secure Site Proあたりの糞ルート証明書。ただちに危険というわけではないし、ある意味直しようもないけど。
PCI DSSではTLS1.1を無効にすることは求めていないけど有効は望ましくないので、TLS1.2だけ有効にしていて暗号スイートの指定が適切で特に問題の無さそうな三菱UFJニコスとVISAに「たいへんよくできました」印を付けた。
見方(見るところ)が違うと異論もあるかもしれないけど「がとらぼ」での評価はこんな感じ。