― MozillaZine.jp フォーラムは Mozilla 製品に関する情報交換の場です ―



All times are UTC + 9 hours

新しいトピックを投稿する トピックへ返信する  [ 5 件の記事 ] 
作成者 メッセージ
投稿記事Posted: 2015年4月12日(日) 17:38 
オフライン

登録日時: 2015年4月12日(日) 17:03
記事: 3
Forefox 36.xから37.x(37.0,37.01)にアップグレードすると、下記サイトに接続できなくなりました。
Forefox 36.x(例として36.0.4)にダウングレードすると接続できます。
同サイトにはchrome最新版、IE11最新版は接続可能です。
なお、サイト管理者によれば、IEはサポートしますが、Firefoxはサポート対象外だそうです。#ありがちな回答です。

https://www.benefit401k.com/customer/

ちなみに特定のタイト(ここではSBI証券の401Kサイトです)を出すと、セキュリティがどうのこうのと、その検査結果を
掲載され方がおりますが、確かに参考にはなりますが、現実は助けになっておりません。

また、本件はfirefox37.x系における、https接続に関すると不具合と考えております。

以上

PS: firefox 37.0.1 で投稿できませんでした。おそらく本件の不具合のせいでしょう。


添付ファイル:
コメント: 接続不良例
capture-20150412-172429.png
capture-20150412-172429.png [ 68.15 KiB | 表示数: 9006 回 ]

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:36.0) Gecko/20100101 Firefox/36.0 Cyberfox/36.0.4
通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2015年4月12日(日) 17:58 
オフライン

登録日時: 2015年4月12日(日) 17:03
記事: 3
自己レスです。
37.0からの新機能で
「HTTP/2 AltSvc をサポートするサーバに対して、日和見暗号を利用する ようになった」
が関連(原因)ではないでしょうか?

_________________
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:36.0) Gecko/20100101 Firefox/36.0 Cyberfox/36.0.4


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2015年4月12日(日) 18:00 
オフライン
Moderator

登録日時: 2011年4月06日(水) 10:16
記事: 1905
お住まい: Tokyo
該当サイトはTLS1.0を使っているようです。
IEでもインターネットオプションの設定からTLS1.0のチェックをはずすと表示されません。

なお不具合ではなく、セキュリティ的に弱いものを排除する「仕様」です。
https://bugzilla.mozilla.org/show_bug.cgi?id=1084025

自己責任ですが、以下、Firefox 36以前の仕様にすることで表示できるようになります。
about:configにて、security.tls.version.fallback-limitの値を1にする。

引用:
PS: firefox 37.0.1 で投稿できませんでした。おそらく本件の不具合のせいでしょう。

どこに投稿できないのですか?
ここですか?
ここは、問題なく投稿できます。

_________________
[Desktop] Windows 10 pro (64bit) / 16GB RAM
Mozilla/5.0 (Windows NT 6.1; rv:37.0) Gecko/20100101 Firefox/37.0

通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2015年4月12日(日) 20:53 
オフライン

登録日時: 2015年4月12日(日) 17:03
記事: 3
Moderators さん
回答ありがとうございます。
TLSバージョン対応設定が起因の件、了解しました。
firefox系の設定値が3になっていることを確認しました。IE11も同じ理屈で接続できなります。
サイトにはTLS1.2サポートを提案しました。

ありがとうございました。

ion.fallback-limit=1 -> TLS 1.0

_________________
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0


通報する
ページトップ
 プロフィール  
引用付きで返信する  
投稿記事Posted: 2015年4月13日(月) 21:46 
解決済みのところ、横から失礼します。

本トピックと類似の問題に遭遇するケースは他にもあると思われますから、選択肢のひとつとして別解を紹介しておきます。

特定のサイトを「例外」として登録する方法です。
about:config から、
security.tls.insecure_fallback_hosts
に、対象としたいサイトのホスト名を入れます。本件ならば、
www.benefit401k.com
となりましょうか。
Firefox を再起動することで設定内容が反映されるようになります。

security.tls.version.fallback-limit を 1 に下げる方法との違いは、この設定値をデフォルトの 3 にしたままで、ユーザーが例外として認めたサイトだけ TLS の適用下限を TLS 1.0 まで下げて対応します。それ以外のサイトではデフォルトの強度は下がりません。
そのサイトの暗号強度は低いが、信頼してもよいとユーザーが判断して、そのサイトを登録するホワイトリストですね。

理想的には、当該サイトが安全強度を上げる措置を取ってくれることが望ましいわけで、当該サイトに提案なさった programer さんの対応は、筋が通った立派なものだと思います。
それでも、諸般の事情から簡単には対応してもらえないケースがあります。
この場合、サイトが対応するまで Firefox からそのサイトを利用できないままでは困るので、臨時の例外措置を設けるのが上記の方法です。

ただし、やっていることは安全性の強度を下げてそのサイトにアクセスしていることになるので、ユーザーの冷静な判断と自己責任でおこなってください。

(補足)
少し前に下記を読んでいて、そこに書いてあるホワイトリストの話から類推して、security.tls.insecure_fallback_hosts にホスト名を登録することを思いついて Firefox 37.0 で試し、その働きを経験的に把握しました。信頼できるどこかのドキュメントを読んでつかんだ内容ではありませんから、その点はご承知おきください。
https://developer.mozilla.org/ja/Firefox/Releases/38

たぶん、ハードコーディングされたホワイトリストとは別に、ユーザーが任意に追加できる項目だと思います。
対象サイトの仕様や現状によっては必ず対応できるとは限りませんし、この例外措置がいつまで Firefox の設定として維持されるかわかりませんが、当面の対策のひとつにはなると思います。

とりあえず以上です。詳しい知識を持ったユーザーさんからの補足や訂正を歓迎します。

_________________
Mozilla/5.0 (Windows NT 6.2; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0


通報する
ページトップ
  
引用付きで返信する  
期間内表示:  ソート  
新しいトピックを投稿する トピックへ返信する  [ 5 件の記事 ] 

All times are UTC + 9 hours


オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[35人]


トピック投稿:  可
返信投稿:  可
記事編集: 不可
記事削除: 不可
ファイル添付: 不可

検索:
ページ移動:  
Powered by MozillaZine.jp® Forum Software © phpBB Group , Almsamim WYSIWYG
Japanese translation principally by ocean