MozillaZine.jp フォーラム :: トピック - 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac

安全な接続ができませんでした

www.inb.[example].chance.co.jp への接続中にエラーが発生しました。
SSL received a record with an incorrect Message Authentication Code.
(エラーコード: ssl_error_bad_mac_read)

受信したデータの真正性を検証できなかったため、このページは表示できませんでした。
この問題を Web サイトの管理者に連絡してください。

IEで、TLS1.0のチェックをはずしてアクセスするとどうなりますか？
Firefox同様に何らかのエラーが出ますか？

このページは表示できません

・Web アドレス https://www.inb.joyobank.chance.co.jp が正しいか確かめてください。
・検索エンジンでそのページを探してください。
・数分待ってから、ページを最新の情報に更新してください。
・[ツール] > [インターネットオプション] > [詳細設定] > [設定] > [セキュリティ] で、TLS プロトコルと SSL プロトコルが有効になっているか確かめてください。

Okitoさんがご利用のページだけのエラーなのか、他にも共通するものなのか。

Google 検索で常陽銀行の次、百十四銀行の以下のアドレスも同じエラーになりました。
https://www.inb.114bank.chance.co.jp/in ... LGN001_001
pal さんの環境で、このページは表示できますか？

SSL サーバーが旧形式のものである可能性があります。
サーバーに安全に接続することができません。このウェブサイトは以前は問題なく機能していたようですが、現在はサイトにアクセスすると、すべてのユーザーにセキュリティリスクをもたらす可能性があるため、安全のために無効となっています。

http://www.inb.[example].chance.co.jp を調べたら、TLS1.0 でしかアクセスできませんでした。

同じ「地銀ITソリューション」のページなのに、何が違っているのでしょうか？

例示されている常陽銀行の場合は、エラーが返らない＋EV SSLで適切に表示されています。Firefox、IEでも同様です。
上がIE11,下がFirefox41です。

お尋ねの百十四銀行のサイトは、IEだと一応表示はできますが、https接続にもかかわらず、アドレスバーには鍵アイコンが表示されません。

Firefox では、あくまで過渡的な対応であることを前提に、ホワイトリスト機能を提供しています。どうしても必要なサービスにアクセス・利用するため、特定のサイトに対してだけセキュリティ強度を下げることを許可する機能です。

TLS1.0 のチェックを外すと、Web アドレス（常陽銀行）だけが違う同じメッセージが表示されます。

作成者:	Okito [ 2015年9月30日(水) 11:20 ]
記事の件名:	安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
Firefox 38.3.0 ESR Win7 ＆ Win8 以下のエラーが発生して、アクセスできず困っています。 https://support.mozilla.org/ja/kb/Secure%20Connection%20Failed#w_gdaoacuzalaoaoaeag こちらのページを確認してみたのですが、該当するエラーコードが見つかりませんでした。 IE ではアクセスできていますので、Firefox 特有の現象でしょうか。警告を回避する方法はありませんか？引用: 安全な接続ができませんでした www.inb.[example].chance.co.jp への接続中にエラーが発生しました。 SSL received a record with an incorrect Message Authentication Code. (エラーコード: ssl_error_bad_mac_read) 受信したデータの真正性を検証できなかったため、このページは表示できませんでした。この問題を Web サイトの管理者に連絡してください。

作成者:	pal [ 2015年9月30日(水) 15:36 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
viewtopic.php?t=12291 https://support.mozilla.org/ja/kb/enabl ... rely-error IEでSSL3にチェックが入っていませんか？ご確認を。 http://www.essam.co.jp/jimu/cannotpage/images/ie9_4.jpg

作成者:	Okito [ 2015年9月30日(水) 21:44 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
返信、ありがとうございます。 Win7 も Win8 も IE10 を使用していますが、どちらも TLS1.0 TLS1.1 TLS1.2 のみチェックを入れています。 SSL3.0 は問題が発生した時に、早々にチェックを外しました。 http://www.inb.[example].chance.co.jp を調べたら、TLS1.0 でしかアクセスできませんでした。この事が今回のエラーに関係しているのでしょうか？

作成者:	pal [ 2015年10月01日(木) 07:35 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
IEで、TLS1.0のチェックをはずしてアクセスするとどうなりますか？ Firefox同様に何らかのエラーが出ますか？例えば、提示のURLに似たもので、常陽銀行の下記ページがあります。 https://www.inb.joyobank.chance.co.jp/i ... LGN001_001 Firefox 41でエラーも出ずアクセスできます。 Okitoさんがご利用のページだけのエラーなのか、他にも共通するものなのか。

作成者:	Okito [ 2015年10月01日(木) 09:32 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
pal さんが書きました: IEで、TLS1.0のチェックをはずしてアクセスするとどうなりますか？ Firefox同様に何らかのエラーが出ますか？引用: このページは表示できません・Web アドレス https://www.inb.joyobank.chance.co.jp が正しいか確かめてください。・検索エンジンでそのページを探してください。・数分待ってから、ページを最新の情報に更新してください。・[ツール] > [インターネットオプション] > [詳細設定] > [設定] > [セキュリティ] で、TLS プロトコルと SSL プロトコルが有効になっているか確かめてください。 TLS1.0 のチェックを外すと、Web アドレス（常陽銀行）だけが違う同じメッセージが表示されます。 pal さんが書きました: Okitoさんがご利用のページだけのエラーなのか、他にも共通するものなのか。確かに私がアクセスしているページは表示できませんが、常陽銀行のページは表示できました。同じ「地銀ITソリューション」のページなのに、何が違っているのでしょうか？ Google 検索で常陽銀行の次、百十四銀行の以下のアドレスも同じエラーになりました。 https://www.inb.114bank.chance.co.jp/in ... LGN001_001 pal さんの環境で、このページは表示できますか？

MozillaZine.jp フォーラム https://forums.mozillazine.jp/

安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read) https://forums.mozillazine.jp/viewtopic.php?f=2&t=15689	ページ 1 ／ 1

作成者:	pal [ 2015年10月01日(木) 15:58 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
Okito さんが書きました: Google 検索で常陽銀行の次、百十四銀行の以下のアドレスも同じエラーになりました。 https://www.inb.114bank.chance.co.jp/in ... LGN001_001 pal さんの環境で、このページは表示できますか？これは私のところでもエラーになります。何が違うかは不明です。

作成者:	meeyar [ 2015年10月01日(木) 20:50 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
横からですが。 Okito さんが書きました: Google 検索で常陽銀行の次、百十四銀行の以下のアドレスも同じエラーになりました。 https://www.inb.114bank.chance.co.jp/in ... LGN001_001 pal さんの環境で、このページは表示できますか？上記のサイトは、そもそものセキュリティがよろしくないという単純な理由でエラーが返っているのではないでしょうか？例示されている常陽銀行の場合は、エラーが返らない＋EV SSLで適切に表示されています。Firefox、IEでも同様です。上がIE11,下がFirefox41です。添付ファイル: joyobar.png [ 16.11 KiB \| 表示数: 23080 回 ] お尋ねの百十四銀行のサイトは、IEだと一応表示はできますが、https接続にもかかわらず、アドレスバーには鍵アイコンが表示されません。添付ファイル: p114.PNG [ 21.97 KiB \| 表示数: 23080 回 ] つまり、表示だけはされているけれども暗号化されたサイトとは認識できていないことになります。機密性必須の銀行サイトでは問題だと思います。このサイトについて、他のブラウザ(Opera32)でアクセスしますと、引用: SSL サーバーが旧形式のものである可能性があります。サーバーに安全に接続することができません。このウェブサイトは以前は問題なく機能していたようですが、現在はサイトにアクセスすると、すべてのユーザーにセキュリティリスクをもたらす可能性があるため、安全のために無効となっています。と、より具体的なメッセージが表示されます。ですので、本来の意味でセキュリティ絡みの事情により、「アクセスできない」ようにブラウザ側が制限している状況、という風に見えます。サイト側で適切な暗号化の措置が取られていないのではないでしょうか。これは百十四銀行に直接問い合わせたほうが良いかと思います。

作成者:	偶然的通行人 [ 2015年10月01日(木) 20:51 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
横から失礼します。 Okito さんが書きました: http://www.inb.[example].chance.co.jp を調べたら、TLS1.0 でしかアクセスできませんでした。 Okito さんが書きました: 同じ「地銀ITソリューション」のページなのに、何が違っているのでしょうか？詳しい事情は存じませんが、地銀一行では荷が重い業務をアウトソーシング先で一括して扱っているようですね。このような場合でも、複数行が同一の証明書を使うことはありえないと思いますから、そうした違いから "受信したデータの真正性を検証できな" いケースが出てくるのではないでしょうか。証明書や通信の暗号化に使われるアルゴリズムも、脆弱性の高いものは順次廃止されている途上だそうなので、ブラウザ側とサイト側の対応がかみ合わなければ、正常にアクセスできないケースが出てくる可能性はあると思います。例えば、あるブラウザ側の対応が先行し、危険性の高い方式を廃止してより厳しい仕様を標準に据えたとして、もしもサイト側がそこまで行かずに旧来の仕組みを切り替えきれていない状況があれば、そのブラウザでは対応不十分のサイトには正常にアクセスできない場合がありうる、ということです。しかし、それではユーザーが困る場面が出てきます。インターネットでのサービスをセキュアに利用することは最優先事項ですが、技術的なわずかの食い違いから必要なサービスが使えないと、社会活動に支障をきたすことにもなりかねないので、より安全な方法が行き渡るまでの過渡期には何かしらの回避策が求められます。 Firefox では、あくまで過渡的な対応であることを前提に、ホワイトリスト機能を提供しています。どうしても必要なサービスにアクセス・利用するため、特定のサイトに対してだけセキュリティ強度を下げることを許可する機能です。ユーザーが、当該サイトを信頼できると判断し、回避策を採れば一定のリスクが増えることを許容できるのなら、次の方法を試してみてください。 about:config から security.tls.insecure_fallback_hosts に、許可したいサイトのホスト名を入れます。ここまでで例示されている銀行をサンプルとするなら、 www.inb.114bank.chance.co.jp と入れます。その後、対象のサイトにアクセスできるかどうか、確認してください。【注】くどいようですが、これは一時的な対応です。ユーザーの判断と責任の下に実行してください。本質的には、サイト側がセキュリティ強度を向上させてくれるのが望ましいので、エラーメッセージにもあるように、「この問題を Web サイトの管理者に連絡」することは重要だと思います。Firefox のエラー画面にある [このエラーを報告] を実行することで、多面的に啓発していく方法もあります。【補足】対象となっているサイトがサイトなので、念のため......。こうした銀行取引を扱うサイトでのトラブルは、ユーザーに経済的な損失をもたらすことがあるので、慎重な対処が求められると思います。「利用できない」のも損失といえますが、とくに昨今、インターネットバンキングサービスを標的にしたマルウェアやフィッシィングの被害が多発していることもあり、こうしたサイトで正常ではない場面に遭遇したときに "起こっている問題をとりあえず回避" 的な対処だけをしていると、本当に不正な内容が含まれていたケースなど、より深刻な問題を見過ごしてしまう危険が残ります。本件はそうしたマルウェアやフィッシィングとは無縁のトラブルかもしれませんが、問題が起こっているサイトの性質上、想定可能なリスクを広い視野で見て、慎重に対応したほうがいいと思ったので、そのことだけは注意喚起しておきたいと思います。とりあえず以上です。的外れな話になっていたらすみません。

作成者:	Okito [ 2015年10月02日(金) 12:32 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
返信、ありがとうございます。 meeyar さんが書きました: 例示されている常陽銀行の場合は、エラーが返らない＋EV SSLで適切に表示されています。Firefox、IEでも同様です。上がIE11,下がFirefox41です。お尋ねの百十四銀行のサイトは、IEだと一応表示はできますが、https接続にもかかわらず、アドレスバーには鍵アイコンが表示されません。 Win7 の IE10 でテストをしています。どちらの銀行もトップページからリンクを辿ってログインページを開くと、鍵アイコンが表示され、EV SSL になりました。接続はどちらも「TLS 1.0、AES / 256 ビット暗号 (高); RSA / 2048 ビット交換」になっています。リンクを辿らず、直接ログインページの URL を張り付けて開くと、どちらの銀行も鍵アイコンは表示されません。この状態から再読み込みを行うと、どちらの銀行にも鍵アイコンが表示されます。 IE10 で開く限りでは、どちらの銀行にも差は見受けられないように感じます。偶然的通行人さんが書きました: Firefox では、あくまで過渡的な対応であることを前提に、ホワイトリスト機能を提供しています。どうしても必要なサービスにアクセス・利用するため、特定のサイトに対してだけセキュリティ強度を下げることを許可する機能です。百十四銀行だと、security.tls.insecure_fallback_hosts に "www.inb.114bank.chance.co.jp, http://www.apt.114bank.chance.co.jp" を入力すると開くことができました。 security.tls.insecure_fallback_hosts は TLS1.0 にフォールバックするホストを指定する項目だと思うのですが、常陽銀行も TLS1.0 ですがホワイトリストに指定しなくても開けているのが不思議です。どちらの銀行も証明書の公開キーは 2048bits になっています。 IE10 の接続は、どちらの銀行も「TLS 1.0、AES / 256 ビット暗号 (高); RSA / 2048 ビット交換」になっています。 Firefox の接続は、どちらの銀行も「TLS_RSA_WITH_AES_256_CBC_SHA, 鍵長 256 bit, TLS 1.0」になっています。鍵長 256 ビットとなっていますが問題ないのでしょうか？それとも、何か見方を間違っていますか？

作成者:	meeyar [ 2015年10月02日(金) 20:45 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
以前のコメントで、 Okito さんが書きました: TLS1.0 のチェックを外すと、Web アドレス（常陽銀行）だけが違う同じメッセージが表示されます。とあったのが気になって、TLSのバージョンに絞って調べてみました。 Firefoxのabout:configにて、 security.tls.version.max と security.tls.version.min の両方を1にし、TLS1.0のみが有効な状態で百十四銀行のサイトを開くと、EV SSL表示で開きます。通常、security.tls.version.maxの値は3で、TLS1.2までが有効です。(security.tls.version.max=3, security.tls.version.min=1の状態) Security.tls.version.* - MozillaZine Knowledge Base Okitoさんが仰るように、百十四銀行のサイトはTLS1.0でないと対応していないようなので、Firefoxを含めた複数のブラウザでは、「古いバージョンにしか対応してない→ここは安全じゃない」と判断しエラー表示を出しているのではないかと。ご存知のようにTLS1.0は「古い」ので。根本的には百十四銀行側でTLS1.2まで対応することが望ましいと思います。過去記事のこれと類似？ MozillaZine.jp フォーラム・トピック - 37.0以降、特定サイトに接続できなくなりました

作成者:	偶然的通行人 [ 2015年10月03日(土) 09:27 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
再び横から失礼します。ぼくは、エンドユーザーが一般教養程度に知っていること以上にセキュリティの専門知識を持っていませんから、あくまで実体験の中で得た経験則からしか語れませんが......。あらためて当方でも、Gecko 系、Chromium 系その他の複数のブラウザで、例示されている百十四銀行のログインページにアクセスしてみましたが、Internet Explorer 以外のすべてで、安全性を確認できないため接続を中止した旨のメッセージが出て、すんなり開くことはできませんでした。しかし、先に紹介したように当該サイトを Firefox のホワイトリストに追加すると、そのページを開くことがきました。 Internet Explorer と Firefox で、表示されたページの詳細情報を見ると、Okito さんがおっしゃっているように、セキュリティまわりの違いを見出せません。しかし、サイト側の条件にブラウザが [最初から合わせている／例外許可をして合わせた] 結果、通信が成立したのなら、成立後に見るサイト側のセキュリティ情報が同じであってもおかしくないのかもしれません。対照としての常陽銀行のログインページは、Internet Explorer に限らず他のブラウザでも普通に開くことができました。同じ「地銀ITソリューション」でホストされているのに、百十四銀行との差が現われるのは不思議といえなくもありませんが、サーバーの仕様や構成が完全に同一であるとは限らないとも考えられます。各地銀ごとに契約時期や内容が微妙に異なれば、サーバーの更新時期などに差が出ることもありえるのではないでしょうか。想像ですが、ホスト先では全体としてセキュリティの強化を進めているとしても、各行ごとに完了の時期に差があるなら、一時的に２つ（あるいはそれ以上）の銀行間で差が出るような期間が発生することもないとはいえませんし...。いずれにしても、技術的に詳細な事情はエンドユーザーにはわからないことがあるので、気になるなら当該サイトに問い合わせてみてはいかがでしょうか。（ただしサイトの窓口では、「Firefox で表示できません」「○○の設定を変更してください」みたいなやり取り以上に、サーバーや証明書の仕様がどうとかの技術的に立ち入った質問には、答えてもらえないかもしれません。）シロウト水準の話しかできず申し訳ありませんが、以上です。（余談） meeyar さんへ以前にもありましたが、前便ではまた１分ほどの差で投稿がかぶってしまい、失礼しました。

作成者:	Okito [ 2015年10月03日(土) 15:21 ]
記事の件名:	Re: 安全な接続ができませんでした (エラーコード: ssl_error_bad_mac_read)
現状、このエラーが発生する地銀ITソリューションを使用している銀行に firefox でアクセスするためには、ホワイトリスト (security.tls.insecure_fallback_hosts) に登録するしかなさそうですね。返信を頂きました皆様、ありがとうございました。

ページ 1 ／ 1	All times are UTC + 9 hours
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/