stat.inkサーバ設定

stat.ink の TLS(SSL) 設定変更

Posted on by AIZAWA Hina in stat.inkサーバ設定

stat.ink の TLS (SSL) の設定を変更したため、次のようなクライアントではアクセスできなくなりました。

  • Windows XP + Internet Explorer (Firefox 等ではアクセス可能かもしれませんが、そもそも XP はもう窓から投げ捨てましょう)
  • Android 2.3 (たぶん 4.0 未満が正確) などのとても古い Android (これももう窓から投げ捨てましょう)
  • Java 6, OpenSSL 0.9.8 などの大変古いライブラリ(窓から投げ捨てましょう)

(stat.inkに限らず)次に死ぬ予定なのは、

  • Android 4.4 未満
  • IE 11 未満の Windows 7/Vista
  • Windows Phone 8.0
  • Java 7
  • Safari 7 未満

あたりになる可能性が高いです(これらの環境は TLS1.2 での接続をサポートしていません)。当該環境をお持ちの方は早めのリプレースを検討してください。

今回死んだ技術的な理由: (EC)DHE でない Cipher Suites 切った

ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=ChaCha20-Poly1305 Mac=AEAD
ECDHE-RSA-CHACHA20-POLY1305   TLSv1.2 Kx=ECDH     Au=RSA   Enc=ChaCha20-Poly1305 Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128)       Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256   TLSv1.2 Kx=ECDH     Au=RSA   Enc=AESGCM(128)       Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256)       Mac=AEAD
ECDHE-RSA-AES256-GCM-SHA384   TLSv1.2 Kx=ECDH     Au=RSA   Enc=AESGCM(256)       Mac=AEAD
DHE-RSA-AES128-GCM-SHA256     TLSv1.2 Kx=DH       Au=RSA   Enc=AESGCM(128)       Mac=AEAD
DHE-RSA-AES256-GCM-SHA384     TLSv1.2 Kx=DH       Au=RSA   Enc=AESGCM(256)       Mac=AEAD
ECDHE-ECDSA-AES128-SHA256     TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)          Mac=SHA256
ECDHE-RSA-AES128-SHA256       TLSv1.2 Kx=ECDH     Au=RSA   Enc=AES(128)          Mac=SHA256
ECDHE-ECDSA-AES128-SHA        SSLv3   Kx=ECDH     Au=ECDSA Enc=AES(128)          Mac=SHA1
ECDHE-RSA-AES256-SHA384       TLSv1.2 Kx=ECDH     Au=RSA   Enc=AES(256)          Mac=SHA384
ECDHE-RSA-AES128-SHA          SSLv3   Kx=ECDH     Au=RSA   Enc=AES(128)          Mac=SHA1
ECDHE-ECDSA-AES256-SHA384     TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)          Mac=SHA384
ECDHE-ECDSA-AES256-SHA        SSLv3   Kx=ECDH     Au=ECDSA Enc=AES(256)          Mac=SHA1
ECDHE-RSA-AES256-SHA          SSLv3   Kx=ECDH     Au=RSA   Enc=AES(256)          Mac=SHA1
DHE-RSA-AES128-SHA256         TLSv1.2 Kx=DH       Au=RSA   Enc=AES(128)          Mac=SHA256
DHE-RSA-AES128-SHA            SSLv3   Kx=DH       Au=RSA   Enc=AES(128)          Mac=SHA1
DHE-RSA-AES256-SHA256         TLSv1.2 Kx=DH       Au=RSA   Enc=AES(256)          Mac=SHA256
DHE-RSA-AES256-SHA            SSLv3   Kx=DH       Au=RSA   Enc=AES(256)          Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA      SSLv3   Kx=ECDH     Au=ECDSA Enc=3DES(168)         Mac=SHA1
ECDHE-RSA-DES-CBC3-SHA        SSLv3   Kx=ECDH     Au=RSA   Enc=3DES(168)         Mac=SHA1
EDH-RSA-DES-CBC3-SHA          SSLv3   Kx=DH       Au=RSA   Enc=3DES(168)         Mac=SHA1

Staaaay Fresh!