堀田@諌早市です。 On Sat, 21 Oct 2000 12:27:39 +0900 Subject Re: 128bit 証明書と IE5.0(56bit): "HIROSE, Masaaki" <hirose31 _at_ t3.rim.or.jp> wrote: > ひろせといいます フォローどうもですm(__)m > また mod_ssl の FAQ に、56bit バージョンの IE について書かれています。 > <URL:http://www.modssl.org/docs/2.7/ssl_faq.html#ToC48> > # ただ、手元の環境では SSLProtocol all で SSLCipherSuite は指定なしで > # 動いてますが。 今回はサーバ側の問題ではないということが証明できればよかったので、 ブラウザをアップグレードしていただくということでよしとしました。 他の方のために、該当部分の抄訳を示しておきます。At your own risk でお使いください(^^;。 ============ The next problem is that 56bit export versions of MSIE 5.x browsers have a broken SSLv3 implementation which badly interacts with OpenSSL versions greater than 0.9.4. You can either accept this and force your clients to upgrade their browsers, or you downgrade to OpenSSL 0.9.4 (hmmm), or you can decide to workaround it by accepting the drawback that your workaround will horribly affect also other browsers: 次の問題としては、MSIE 5.x ブラウザの 56bit 輸出バージョンでは SSLv3 の実装に問題があって、Openssl の 0.9.4 より後のバージョン とはやりとりがうまくいかなくなるというものです。あなたにできるこ とは、これを受け入れてブラウザをアップグレードしてもらうか、Openssl を 0.9.4 にダウングレードするか(うぅ)、またはこれを回避するため に、この欠点を容認して、他のブラウザにも重大な影響を与える、以下 の設定を(Apache に)追加するかです。 SSLProtocol all -SSLv3 This completely disables the SSLv3 protocol and lets those browsers work. But usually this is an even less acceptable workaround. A more reasonable workaround is to address the problem more closely and disable only the ciphers which cause trouble. これは SSLv3 プロトコルを完全に無効にし、これらのブラウザを動 作するようにするというものです。しかし、通常これは回避策としては 受け入れがたいものです。もうすこしましな回避策としては、対象をよ り限定的にして、問題を起こす暗号方式のみを無効にするというものです。 SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP This also lets the broken MSIE versions work, but only removes the newer 56bit TLS ciphers. これで問題のある MSIE でも動くようにはなりますが、より新しい 56bit TLS 暗号方式だけは使用しないようになります。 =============== ----+----|----+----|----+----|----+----|----+----|----+----|----+----| http://www.remus.dti.ne.jp/~sim/ 堀田 倫英
Follow-Ups:
- [linux-users:75428] Re: 128bit 証明書とIE5.0(56bit)Michihide Hotta
- [linux-users:74823] 128bit 証明書とIE5.0(56bit)Michihide Hotta
- [linux-users:74827] Re: 128bit証明書とIE5.0(56bit)Seiji Fukagawa
- [linux-users:74949] Re: 128bit 証明書とIE5.0(56bit)HIROSE, Masaaki
- Prev by Subject: [linux-users:75018] Re: 怪文書ね。
- Next by Subject: [linux-users:75020] Re: 怪文書ね。
- Previous by thread: [linux-users:74949] Re: 128bit 証明書とIE5.0(56bit)
- Next by thread: [linux-users:75428] Re: 128bit 証明書とIE5.0(56bit)
- Indexes:[Main][Thread]