中国工商銀行
mybank.icbc.com.cn
受付 プロトコル SSL暗号スイート名 Kx Au Enc Mac 優先 TLSv1.2 AES256-SHA256 (0x00,0x3D) RSA RSA AES(256) SHA256 受入 TLSv1.2 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.2 AES128-SHA256 (0x00,0x3C) RSA RSA AES(128) SHA256 受入 TLSv1.2 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 受入 TLSv1.2 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.2 ECDHE-RSA-AES256-SHA384 (0xC0,0x28) ECDH P-256 RSA AES(256) SHA384 受入 TLSv1.2 ECDHE-RSA-AES256-SHA (0xC0,0x14) ECDH P-256 RSA AES(256) SHA-1 受入 TLSv1.2 ECDHE-RSA-AES128-SHA256 (0xC0,0x27) ECDH P-256 RSA AES(128) SHA256 受入 TLSv1.2 ECDHE-RSA-AES128-SHA (0xC0,0x13) ECDH P-256 RSA AES(128) SHA-1 受入 TLSv1.2 ECDHE-RSA-DES-CBC3-SHA (0xC0,0x12) ECDH P-256 RSA 3DES(168) SHA-1 優先 TLSv1.1 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.1 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.1 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 受入 TLSv1.1 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.1 ECDHE-RSA-AES256-SHA (0xC0,0x14) ECDH P-256 RSA AES(256) SHA-1 受入 TLSv1.1 ECDHE-RSA-AES128-SHA (0xC0,0x13) ECDH P-256 RSA AES(128) SHA-1 受入 TLSv1.1 ECDHE-RSA-DES-CBC3-SHA (0xC0,0x12) ECDH P-256 RSA 3DES(168) SHA-1 優先 TLSv1.0 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.0 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.0 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 受入 TLSv1.0 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.0 ECDHE-RSA-AES256-SHA (0xC0,0x14) ECDH P-256 RSA AES(256) SHA-1 受入 TLSv1.0 ECDHE-RSA-AES128-SHA (0xC0,0x13) ECDH P-256 RSA AES(128) SHA-1 受入 TLSv1.0 ECDHE-RSA-DES-CBC3-SHA (0xC0,0x12) ECDH P-256 RSA 3DES(168) SHA-1
使用中のプロトコル : TLSv1.2
使用中の暗号スイート : AES256-SHA256
これはいったい何をしたいんだと小一時間問い詰めたい。
中国建設銀行
ibsbjstar.ccb.com.cn
受付 プロトコル SSL暗号スイート名 Kx Au Enc Mac 優先 TLSv1.2 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.2 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.2 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 受入 TLSv1.2 AES128-SHA256 (0x00,0x3C) RSA RSA AES(128) SHA256 受入 TLSv1.2 AES256-SHA256 (0x00,0x3D) RSA RSA AES(256) SHA256 優先 TLSv1.0 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.0 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1
使用中のプロトコル : TLSv1.2
使用中の暗号スイート : RC4-SHA
珍しくTLSv1.1は無い(それだけなら悪いわけではない)。暗号スイートの優先順序が謎。TLSv1.2には3DESがあるのにTLSv1.0には入れてないのはどういう意図なのか。結果的にブラウザとの互換性が低い変な選択。
全てが謎の設定。中国政府のご指導の結果こうなったではなく自主的にこうしたなら、たぶん問い詰めても話が通じなさそうなレベル。
中国農業銀行
perbank.abchina.com
受付 プロトコル SSL暗号スイート名 Kx Au Enc Mac 優先 TLSv1.2 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.2 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.2 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 受入 TLSv1.2 AES128-SHA256 (0x00,0x3C) RSA RSA AES(128) SHA256 優先 TLSv1.1 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.1 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 優先 TLSv1.0 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 優先 SSLv3 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1
使用中のプロトコル : TLSv1.2
使用中の暗号スイート : RC4-SHA
ここも全体的に何がしたいのか全く不明。
中国銀行
ebsnew.boc.cn
受付 プロトコル SSL暗号スイート名 Kx Au Enc Mac 優先 TLSv1.2 ECDHE-RSA-AES128-SHA256(0xC0,0x27) ECDH P-256 RSA AES(128) SHA256 受入 TLSv1.2 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.2 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.2 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.2 RC4-MD5 (0x00,0x04) RSA RSA RC4(128) MD5 受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 優先 TLSv1.1 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.1 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.1 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.1 RC4-MD5 (0x00,0x04) RSA RSA RC4(128) MD5 受入 TLSv1.1 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 優先 TLSv1.0 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 TLSv1.0 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 TLSv1.0 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 TLSv1.0 RC4-MD5 (0x00,0x04) RSA RSA RC4(128) MD5 受入 TLSv1.0 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1 優先 SSLv3 AES256-SHA (0x00,0x35) RSA RSA AES(256) SHA-1 受入 SSLv3 AES128-SHA (0x00,0x2F) RSA RSA AES(128) SHA-1 受入 SSLv3 RC4-SHA (0x00,0x05) RSA RSA RC4(128) SHA-1 受入 SSLv3 RC4-MD5 (0x00,0x04) RSA RSA RC4(128) MD5 受入 SSLv3 DES-CBC3-SHA (0x00,0x0A) RSA RSA 3DES(168) SHA-1
使用中のプロトコル : TLSv1.2
使用中の暗号スイート : ECDHE-RSA-AES128-SHA256
中国だと下流に合わせるとRC4は外せないか?ブラウザとの互換性を重視した設定。良い方で見れば今回見た中国の大手銀行の中では唯一まとも系?
中国の銀行は日本よりこういう面は進んでるかと思ったら「見えないところはどうでもいい」的な方に合理化?されてた。
あと、証明書のチェーンに入っているCA証明書がSHA-1なのは国策なの?