日本の銀行のSSL/TLS対応状況 2018年9月初旬

先月の結果では例のSymantecのクソ証明書を使っていて、いよいよヤバくね?というところが結構たくさん。
今回はそこに特化して確認してみた。全部の銀行を確認するの大変すぎるので前回の7月末に証明書がNGだった分のみ。

  • みずほ銀行: 証明書更新確認
  • セブン銀行: 証明書更新確認
  • 大和ネクスト銀行: 証明書更新確認
  • 山形銀行: 証明書更新確認
  • 武蔵野銀行: 証明書更新確認
  • 八十二銀行: NG ヤバい証明書
  • 北國銀行: NG ヤバい証明書
  • スルガ銀行: 証明書更新確認
  • 三重銀行: 証明書更新確認
  • 中国銀行: NGヤバい証明書
  • 広島銀行: NGヤバい証明書 ※1
  • 阿波銀行: 証明書更新確認
  • 百十四銀行: 証明書更新確認 ※2
  • 肥後銀行: 証明書更新確認
  • 鹿児島銀行: 証明書更新確認
  • あおぞら銀行: 証明書更新確認
  • 東京スター銀行: 証明書更新確認 ※3
  • 愛知銀行: 証明書更新確認
  • 愛媛銀行: 証明書更新確認
  • インターネットバンキングにwww.parasol.anser.ne.jpを使ってる43の銀行: 証明書更新確認

前回はNGだった上のリストの銀行の多くは8月中に対応したみたい(当然だよね)。
いよいよ証明書がヤバいのは残り4行。
Chromeブラウザリリースが予定どおりなら、できたら今夜あたり、最悪でも来週末には証明書の更新対応をしないとマズいでしょ。(Chrome 70betaの予定が9月13日とすると。stableは10月?)

※1 広島銀行
広島銀行はもうすぐリリースされるであろうChromeやFirefoxの次期最新版で利用できなくなる証明書だしTLS1.0, 1.1の暗号スイートは安全でなくTLS1.2の場合だけかろうじて危険ではないけど弱い暗号スイートで接続できる状態。しかも弱い順序指定。TLSの通信に対する意識はかなり低い銀行らしいんだけど、何故かブラウザの制限だけは無駄に強い。(次へ)

ひろぎん 利用不能
(Linuxだけど)PC版のChromeで広島銀行のインターネットバンキングに接続しようとしたら全く利用させてもらえないらしい。
どういう目的かわからないけどブラウザのバージョンを確認しろとのこと。いや、そんなことをしても全く解決につながらないよね。

Chromeバージョン確認
一応、メッセージに従ってブラウザのバージョンを確認してみました。
Chrome 68のオフィシャル版ですが、なにか?

ちなみにAndroidの最新版 Chrome 68から試してみたところ、推奨環境ではないというメッセージがポップアップ表示されるもののサービスを利用することは可能みたい。

「このブラウザで正常に利用できることを確認しましたよ」という表示をすることについては文句はないけど、制限することに何の意味があるとお考えなのでしょうか。しかも、最新バージョンに対応するということをしないのであればその制限は害悪でしかないよね。
ひろぎんのページで対応ブラウザを見ると例えばWindows10でChrome 46と書かれてる。3年も前のブラウザを使えということかしら。担当者の頭を開けて中に何が詰まってるのか確認させて貰いたいくらいですわ。

ActiveXコントロールのようなブラウザ依存の仕組みを使っているのでなければ、または、わざわざブラウザ依存のタグやCSSを使うのでなければ、または、正常に表示されないとかとんでもない脆弱性の存在が確認された等を除いて、積極的にブラウザを制限する必要はない筈。

※2 百十四銀行
百十四銀行のインターネットバンキングは8月に「114ダイレクト」というのに変わったらしい。インターネットバンキング入り口のURLは変わらず。
対応プロトコルはTLS1.0, 1.1, 1.2。つまりTLS1.1と1.2が追加になった。 既にTLS1.0と1.1は外して欲しいよねという時代ではあるけど互換性を捨てるという決断まではできなかったんでしょうね。どっちにしてもTLS1.1は要らんかったよね。
利用可能な暗号スイートと優先順位が大いに改善(ただし弱いの残る)。強度の評価としては「普通」レベルだと思うけど、日本の銀行が総じて評価低いのでこれで一気に上位へランクアップというところ。ちなみに前回までの評価は実質最下位ランクでした。

※3 東京スター銀行
前回の7月末と比較すると、利用可能な暗号スイートと優先順位の指定がまともになっているように見える。(ただし弱いの残る)。証明書の更新に合わせて改善されたのでしょうか。