SSL/TLS の脆弱性により、情報漏えいが起こる (Microsoft)
→
MS12-006 (2012-01-11)
TLSのサポート状況についてSANS ISCがまとめています。
TLS 1.2 - Look before you Leap ! (SANS ISC)
WinXP(IE8)
Win7(IE9)
IEは昔からOSコンポーネント(schannel.dll)に依存しており、
IE8かIE9か、ではなくWin7以上かWinVita以前か、で異なります
(たとえばWin7+IE8はTLS1.2までサポートしていますが、
WinVita+IE9はTLS1.0しかサポートしていません)。
昔のIE(IE5など。NetscapeNavigatorもですが)は40bitや56bitで、
128bit化する「高度暗号化パック」が存在していました
(昔は「アメリカによる盗聴は良い盗聴」とばかりに
輸出規制が掛けられていて、最初は北米のみが対象だったので
カナダのプロキシサーバー経由で拾ったことがあります)。
この「高度暗号化パック」もschannel.dllを置き換えていました。
Firefox8Beta1
Opera12pre-Alpha
OperaのTLSのサポートは極めて先進的です。
TLS1.1がドラフトだったOpera7.6プレビュー版で
「問題があるサイトを報告してTシャツを貰おう!」キャンペーンを展開し、
RFCより先にOpera8からサポートしています。
TLS1.2はOpera10からサポートしています。
Opera最強伝説。
OperaやWin7のIEでTLS1.0を切れば安全かもしれませんが、
サーバーはブラウザより悲惨な状況なので切ることができません。
最多のApacheはOpenSSLがTLS1.0のみです(GnuTLSなら可)。
→OpenSSL1.0.1(2012-03-14)でやっとサポートされました。
IISはIEと同様にschannel.dllに依存しており、
IIS7.5(WinServer2008R2・Win7)以降となります。
httpsなサイト(主にログイン画面があるサイト)を閲覧するとがっかりします。
mozilla.orgはTLS1.1です(FirefoxからはTLS1.0ですが)。
my.opera.comはTLS1.0です(笑…えない)。
