MozillaZine.jp フォーラム :: トピック - 37.0以降、特定サイトに接続できなくなりました

MozillaZine.jp フォーラム https://forums.mozillazine.jp/

37.0以降、特定サイトに接続できなくなりました https://forums.mozillazine.jp/viewtopic.php?f=2&t=15384	ページ 1 ／ 1

作成者:

programer [ 2015年4月12日(日) 17:38 ]

記事の件名:

37.0以降、特定サイトに接続できなくなりました

Forefox 36.xから37.x(37.0,37.01)にアップグレードすると、下記サイトに接続できなくなりました。
Forefox 36.x(例として36.0.4）にダウングレードすると接続できます。
同サイトにはchrome最新版、IE11最新版は接続可能です。
なお、サイト管理者によれば、IEはサポートしますが、Firefoxはサポート対象外だそうです。#ありがちな回答です。

https://www.benefit401k.com/customer/

ちなみに特定のタイト（ここではSBI証券の401Kサイトです）を出すと、セキュリティがどうのこうのと、その検査結果を
掲載され方がおりますが、確かに参考にはなりますが、現実は助けになっておりません。

また、本件はfirefox37.x系における、https接続に関すると不具合と考えております。

以上

PS: firefox 37.0.1 で投稿できませんでした。おそらく本件の不具合のせいでしょう。

添付ファイル:

コメント: 接続不良例

capture-20150412-172429.png [ 68.15 KiB | 表示数: 9199 回 ]

作成者:	programer [ 2015年4月12日(日) 17:58 ]
記事の件名:	Re: 37.0以降、特定サイトに接続できなくなりました
自己レスです。 37.0からの新機能で「HTTP/2 AltSvc をサポートするサーバに対して、日和見暗号を利用するようになった」が関連（原因）ではないでしょうか？

作成者:	pal [ 2015年4月12日(日) 18:00 ]
記事の件名:	Re: 37.0以降、特定サイトに接続できなくなりました
該当サイトはTLS1.0を使っているようです。 IEでもインターネットオプションの設定からTLS1.0のチェックをはずすと表示されません。なお不具合ではなく、セキュリティ的に弱いものを排除する「仕様」です。 https://bugzilla.mozilla.org/show_bug.cgi?id=1084025 自己責任ですが、以下、Firefox 36以前の仕様にすることで表示できるようになります。 about:configにて、security.tls.version.fallback-limitの値を１にする。引用: PS: firefox 37.0.1 で投稿できませんでした。おそらく本件の不具合のせいでしょう。どこに投稿できないのですか？ここですか？ここは、問題なく投稿できます。

作成者:	programer [ 2015年4月12日(日) 20:53 ]
記事の件名:	Re: 37.0以降、特定サイトに接続できなくなりました
Moderators さん回答ありがとうございます。 TLSバージョン対応設定が起因の件、了解しました。 firefox系の設定値が３になっていることを確認しました。IE11も同じ理屈で接続できなります。サイトにはTLS1.2サポートを提案しました。ありがとうございました。 ion.fallback-limit=１ -> TLS 1.0

作成者:	偶然的通行人 [ 2015年4月13日(月) 21:46 ]
記事の件名:	Re: 37.0以降、特定サイトに接続できなくなりました
解決済みのところ、横から失礼します。本トピックと類似の問題に遭遇するケースは他にもあると思われますから、選択肢のひとつとして別解を紹介しておきます。特定のサイトを「例外」として登録する方法です。 about:config から、 security.tls.insecure_fallback_hosts に、対象としたいサイトのホスト名を入れます。本件ならば、 www.benefit401k.com となりましょうか。 Firefox を再起動することで設定内容が反映されるようになります。 security.tls.version.fallback-limit を 1 に下げる方法との違いは、この設定値をデフォルトの 3 にしたままで、ユーザーが例外として認めたサイトだけ TLS の適用下限を TLS 1.0 まで下げて対応します。それ以外のサイトではデフォルトの強度は下がりません。そのサイトの暗号強度は低いが、信頼してもよいとユーザーが判断して、そのサイトを登録するホワイトリストですね。理想的には、当該サイトが安全強度を上げる措置を取ってくれることが望ましいわけで、当該サイトに提案なさった programer さんの対応は、筋が通った立派なものだと思います。それでも、諸般の事情から簡単には対応してもらえないケースがあります。この場合、サイトが対応するまで Firefox からそのサイトを利用できないままでは困るので、臨時の例外措置を設けるのが上記の方法です。ただし、やっていることは安全性の強度を下げてそのサイトにアクセスしていることになるので、ユーザーの冷静な判断と自己責任でおこなってください。（補足）少し前に下記を読んでいて、そこに書いてあるホワイトリストの話から類推して、security.tls.insecure_fallback_hosts にホスト名を登録することを思いついて Firefox 37.0 で試し、その働きを経験的に把握しました。信頼できるどこかのドキュメントを読んでつかんだ内容ではありませんから、その点はご承知おきください。 https://developer.mozilla.org/ja/Firefox/Releases/38 たぶん、ハードコーディングされたホワイトリストとは別に、ユーザーが任意に追加できる項目だと思います。対象サイトの仕様や現状によっては必ず対応できるとは限りませんし、この例外措置がいつまで Firefox の設定として維持されるかわかりませんが、当面の対策のひとつにはなると思います。とりあえず以上です。詳しい知識を持ったユーザーさんからの補足や訂正を歓迎します。

ページ 1 ／ 1	All times are UTC + 9 hours
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/