クレジットカード会社のウェブサイト SSL/TLS対応状況

6月中に日本の銀行のSSL/TLS対応状況を調べてみたけど、いよいよ7月に入ったのでクレジットカードの会社がどうなってるか調べてみた。なんで7月かというと前回も書いたけど、セキュリティ基準であるPCI DSSのv3.2では2018年6月30日、で脆弱性のあるSSL3.0とTLSv1.0の実装(使用)を無効化しなければならないとなっているから。 そのPCI DSSはクレジット会社用のセキュリティ基準。

会社名・カード名などSSL
3.0
TLS
v1.0
TLS
v1.1
TLS
v1.2
URLその他
アメリカン・エキスプレス・インターナショナル表示
ジェーシービー表示チェーン設定
三菱UFJニコス表示たいへんよくできました
株式会社クレディセゾン表示ROBOT
SBIカード検査不能表示ユーザー用サイト7月末で終了予定
りそなカード表示
SAISON表示ROBOT
静銀セゾンカード表示
三井住友トラストクラブ表示
イオンクレジットサービス株式会社表示カード申し込みページ
スルガ銀行表示チェーン設定, POODLE, RC4,
弱いのしかない
ゆうちょ銀行 JP BANK カード表示チェーン設定 ROBOT
三井住友VISA表示チェーン設定 ROBOT
セディナ OMC Plus表示弱いの優先
セディナ CF表示何故か上よりマシ
オリエントコーポレーション表示
ジャックス表示弱い順
アプラス表示弱いのしかない, ROBOT
楽天カード表示弱いの優先
ワイジェイカード表示
ライフカード表示
アコム表示優先順が変で結局弱い, ROBOT
全日信販株式会社表示弱いのしかない, POODLE, ROBOT
株式会社オーシー表示
株式会社エポスカード表示RC4
株式会社ビューカード表示弱いのしかない
東急カード株式会社表示
株式会社NTTドコモ (DCMX)表示POODLE
VISA表示たいへんよくできました
個人用ログインは無いのでトップページで
Mastercard表示個人用ログインは無いのでトップページで

リスト幅の制限でホスト名の「表示」にマウスカーソルを合わせるとホスト名を表示するようにした。クリックしちゃダメ。

クレジット会社はたくさんあってよくわからないので名前を聞いたことがあるような有名処っぽいところだけ。有名処でも抜けてるかも。

意外にもTLS1.2だけにしているところが結構多いという印象(いいね)。
PCI DSSが求めている「TLS1.0の無効化」をしていない場合は黄色を付けた。今回調べた中でドコモだけがSSL3.0を有効にしてた。滅びろ。
利用可能な暗号スイートはいくつか変な会社があったけど前回の銀行を調べたときと比べるとずいぶんとマシな印象。
「チェーン設定」を指摘しているところは例のシマンテック Secure Siteかシマンテック Secure Site Proあたりの糞ルート証明書。ただちに危険というわけではないし、ある意味直しようもないけど。
PCI DSSではTLS1.1を無効にすることは求めていないけど有効は望ましくないので、TLS1.2だけ有効にしていて暗号スイートの指定が適切で特に問題の無さそうな三菱UFJニコスとVISAに「たいへんよくできました」印を付けた。

見方(見るところ)が違うと異論もあるかもしれないけど「がとらぼ」での評価はこんな感じ。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です