都市銀行SSLについての調査
現時点で本当に安全なネットバンキングを提供するにあたって求められることは以下のとおりです。
- 経路全てにおいてのSSL導入
- 安全な証明書署名
- 安全な交渉プロトコル
- 安全な共通鍵暗号アルゴリズム
- 安全な鍵交換アルゴリズム
- 安全なメッセージ認証
ということで、日本の都市銀行のSSLについて調査しました。
| 銀行名 | ポータルサイトSSL | 証明書署名アルゴリズム | 接続暗号種類 | メッセージ認証・鍵交換 |
|---|---|---|---|---|
| みずほ銀行 | ×httpへリダイレクト | ○EV SSL SHA1 | △TLS 1.0, RC4_128 | △SHA1, RSA |
| 三菱東京UFJ銀行 | ×CN不一致(a248.e.akamai.net) | ○EV SSL SHA1 | ○TLS 1.0, AES_256 | ◎SHA1, DHE_RSA |
| 三井住友銀行 | ×404NotFound | ○EV SSL SHA1 | △TLS 1.0, RC4_128 | △SHA1, RSA |
| りそな銀行 | ×404NotFound | ○EV SSL SHA1 | ◎TLS 1.2, AES_128_CBC | △SHA1, RSA |
| ◎全ページSSL | ◎EV SSL SHA256 | ◎TLS 1.2, AES_128_GCM | ◎ECDHE_RSA |
ポータルサイトSSLは、検索した時に出てくるサイトが既にDNS毒入れ等で違う相手だった場合脅威になるのでSSLの方が好ましいです。それについての記述です。ほとんど銀行サイトまるごとSSLとかしてるのは見ないです。
鍵交換にDHE使ってないっていう何も学んでない企業も多いです。
Twitterが一番セキュリティしっかりしてるって笑える。
2014-07-20現在 Chrome36からの接続結果です。