― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

返信する
ユーザー名:
件名:
オプション:
BBCode: ON
[img]: ON
[flash]: OFF
[url]: ON
スマイリー: ON
BBCode を無効にする
フォントサイズ:
フォントカラー
スマイリーを無効にする
URL を自動的にパースしない
ユーザエージェントを表示する
認証コード
KCaptcha by Nikita_Sp
   

トピックのレビュー - 37.0以降、特定サイトに接続できなくなりました
作成者 メッセージ
  記事の件名:  Re: 37.0以降、特定サイトに接続できなくなりました  引用付きで返信する
解決済みのところ、横から失礼します。

本トピックと類似の問題に遭遇するケースは他にもあると思われますから、選択肢のひとつとして別解を紹介しておきます。

特定のサイトを「例外」として登録する方法です。
about:config から、
security.tls.insecure_fallback_hosts
に、対象としたいサイトのホスト名を入れます。本件ならば、
www.benefit401k.com
となりましょうか。
Firefox を再起動することで設定内容が反映されるようになります。

security.tls.version.fallback-limit を 1 に下げる方法との違いは、この設定値をデフォルトの 3 にしたままで、ユーザーが例外として認めたサイトだけ TLS の適用下限を TLS 1.0 まで下げて対応します。それ以外のサイトではデフォルトの強度は下がりません。
そのサイトの暗号強度は低いが、信頼してもよいとユーザーが判断して、そのサイトを登録するホワイトリストですね。

理想的には、当該サイトが安全強度を上げる措置を取ってくれることが望ましいわけで、当該サイトに提案なさった programer さんの対応は、筋が通った立派なものだと思います。
それでも、諸般の事情から簡単には対応してもらえないケースがあります。
この場合、サイトが対応するまで Firefox からそのサイトを利用できないままでは困るので、臨時の例外措置を設けるのが上記の方法です。

ただし、やっていることは安全性の強度を下げてそのサイトにアクセスしていることになるので、ユーザーの冷静な判断と自己責任でおこなってください。

(補足)
少し前に下記を読んでいて、そこに書いてあるホワイトリストの話から類推して、security.tls.insecure_fallback_hosts にホスト名を登録することを思いついて Firefox 37.0 で試し、その働きを経験的に把握しました。信頼できるどこかのドキュメントを読んでつかんだ内容ではありませんから、その点はご承知おきください。
https://developer.mozilla.org/ja/Firefox/Releases/38

たぶん、ハードコーディングされたホワイトリストとは別に、ユーザーが任意に追加できる項目だと思います。
対象サイトの仕様や現状によっては必ず対応できるとは限りませんし、この例外措置がいつまで Firefox の設定として維持されるかわかりませんが、当面の対策のひとつにはなると思います。

とりあえず以上です。詳しい知識を持ったユーザーさんからの補足や訂正を歓迎します。
投稿記事 Posted: 2015年4月13日(月) 21:46
  記事の件名:  Re: 37.0以降、特定サイトに接続できなくなりました  引用付きで返信する
Moderators さん
回答ありがとうございます。
TLSバージョン対応設定が起因の件、了解しました。
firefox系の設定値が3になっていることを確認しました。IE11も同じ理屈で接続できなります。
サイトにはTLS1.2サポートを提案しました。

ありがとうございました。

ion.fallback-limit=1 -> TLS 1.0
投稿記事 Posted: 2015年4月12日(日) 20:53
  記事の件名:  Re: 37.0以降、特定サイトに接続できなくなりました  引用付きで返信する
該当サイトはTLS1.0を使っているようです。
IEでもインターネットオプションの設定からTLS1.0のチェックをはずすと表示されません。

なお不具合ではなく、セキュリティ的に弱いものを排除する「仕様」です。
https://bugzilla.mozilla.org/show_bug.cgi?id=1084025

自己責任ですが、以下、Firefox 36以前の仕様にすることで表示できるようになります。
about:configにて、security.tls.version.fallback-limitの値を1にする。

引用:
PS: firefox 37.0.1 で投稿できませんでした。おそらく本件の不具合のせいでしょう。

どこに投稿できないのですか?
ここですか?
ここは、問題なく投稿できます。
投稿記事 Posted: 2015年4月12日(日) 18:00
  記事の件名:  Re: 37.0以降、特定サイトに接続できなくなりました  引用付きで返信する
自己レスです。
37.0からの新機能で
「HTTP/2 AltSvc をサポートするサーバに対して、日和見暗号を利用する ようになった」
が関連(原因)ではないでしょうか?
投稿記事 Posted: 2015年4月12日(日) 17:58
  記事の件名:  37.0以降、特定サイトに接続できなくなりました  引用付きで返信する
Forefox 36.xから37.x(37.0,37.01)にアップグレードすると、下記サイトに接続できなくなりました。
Forefox 36.x(例として36.0.4)にダウングレードすると接続できます。
同サイトにはchrome最新版、IE11最新版は接続可能です。
なお、サイト管理者によれば、IEはサポートしますが、Firefoxはサポート対象外だそうです。#ありがちな回答です。

https://www.benefit401k.com/customer/

ちなみに特定のタイト(ここではSBI証券の401Kサイトです)を出すと、セキュリティがどうのこうのと、その検査結果を
掲載され方がおりますが、確かに参考にはなりますが、現実は助けになっておりません。

また、本件はfirefox37.x系における、https接続に関すると不具合と考えております。

以上

PS: firefox 37.0.1 で投稿できませんでした。おそらく本件の不具合のせいでしょう。


添付ファイル:
コメント: 接続不良例
capture-20150412-172429.png
capture-20150412-172429.png [ 68.15 KiB | 表示数: 9007 回 ]
投稿記事 Posted: 2015年4月12日(日) 17:38

All times are UTC + 9 hours


ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean