SSLv2が有効な環境では暗号化を破る攻撃を受ける可能性があるとの事でした。
自社関連サイトはもちろん確認しましたが、他社はどんな状況かと思い色々なサイトをチェックしてみました。
SSLといえば、ECサイトかなと思いECに限って調べております。
さてチェックコマンドは2つ。[domain]に対象サイトのドメインを入れてレスポンス確認してみました。
$ openssl s_client -connect [domain]:443
$ openssl s_client -ssl2 -connect [domain]:443
※証明書がないとエラー出る場合、CApathで指定する必要があります。
■楽天,ココナラ(coconala.com),メルカリ, Amazon,ZOZO town
$ openssl s_client -connect www.rakuten.com:443sslv3 alert handshake failure SSLv3も無効になってますね。
$ openssl s_client -connect www.rakuten.com:443 -ssl2
write:errno=54は無効なのでOK
こちらも特に問題なし。
■BASE(thebase.in),ポンパレモール(purchase.ponparemall.com),Denaショッピング(id.dena-ec.com),Fril(fril.jp),minne(minne.com)
SSL3_WRITE_BYTES:ssl handshake failureSSL2_WRITE:ssl handshake
問題なさそうですね。
■カラーミー系
↓例えば下記店舗の会員ログイン
ファッションのSOU・SOU
カラーミー系のサイトはmembers.shop-pro.jpが会員ページなのですが、ssl2もssl3もまだ許可されてますね。
ショップ数も多いはずなので対応していただきたいところですね。
■machi-ya
ssl2,ssl3問題は無かったのですが、別の問題が。CSSやら画像がSSL化されてないので、鍵マークが出てないようですね。
あのGIZMODE運営のメディアジーンが運営しているECですが、細かい所までチェックできていないようですね。
鍵マークないのはやっぱりちょっと不安になります。。
SSLのチェックは下記サイトでも出来ますので気になる方試してみては?
https://test.drownattack.com/
0 件のコメント:
コメントを投稿