中国の大銀行のSSL対応状況

中国工商銀行

mybank.icbc.com.cn

受付 プロトコル	SSL暗号スイート名			Kx		Au	Enc		Mac
優先 TLSv1.2 AES256-SHA256 (0x00,0x3D)			RSA		RSA	AES(256)	SHA256
受入 TLSv1.2 AES256-SHA (0x00,0x35)			RSA		RSA	AES(256)	SHA-1
受入 TLSv1.2 AES128-SHA256 (0x00,0x3C)			RSA		RSA	AES(128)	SHA256
受入 TLSv1.2 AES128-SHA (0x00,0x2F)			RSA		RSA	AES(128)	SHA-1
受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A)			RSA		RSA	3DES(168)	SHA-1
受入 TLSv1.2 RC4-SHA (0x00,0x05)			RSA		RSA	RC4(128)	SHA-1
受入 TLSv1.2 ECDHE-RSA-AES256-SHA384 (0xC0,0x28)	ECDH	P-256	RSA	AES(256)	SHA384
受入 TLSv1.2 ECDHE-RSA-AES256-SHA (0xC0,0x14)		ECDH	P-256	RSA	AES(256)	SHA-1
受入 TLSv1.2 ECDHE-RSA-AES128-SHA256 (0xC0,0x27)	ECDH	P-256	RSA	AES(128)	SHA256
受入 TLSv1.2 ECDHE-RSA-AES128-SHA (0xC0,0x13)		ECDH	P-256	RSA	AES(128)	SHA-1
受入 TLSv1.2 ECDHE-RSA-DES-CBC3-SHA (0xC0,0x12)		ECDH	P-256	RSA	3DES(168)	SHA-1
優先 TLSv1.1 AES256-SHA (0x00,0x35)			RSA		RSA	AES(256)	SHA-1
受入 TLSv1.1 AES128-SHA (0x00,0x2F)			RSA		RSA	AES(128)	SHA-1
受入 TLSv1.1 DES-CBC3-SHA (0x00,0x0A)			RSA		RSA	3DES(168)	SHA-1
受入 TLSv1.1 RC4-SHA (0x00,0x05)			RSA		RSA	RC4(128)	SHA-1
受入 TLSv1.1 ECDHE-RSA-AES256-SHA (0xC0,0x14)		ECDH	P-256	RSA	AES(256)	SHA-1
受入 TLSv1.1 ECDHE-RSA-AES128-SHA (0xC0,0x13)		ECDH	P-256	RSA	AES(128)	SHA-1
受入 TLSv1.1 ECDHE-RSA-DES-CBC3-SHA (0xC0,0x12)		ECDH	P-256	RSA	3DES(168)	SHA-1
優先 TLSv1.0 AES256-SHA (0x00,0x35)			RSA		RSA	AES(256)	SHA-1
受入 TLSv1.0 AES128-SHA (0x00,0x2F)			RSA		RSA	AES(128)	SHA-1
受入 TLSv1.0 DES-CBC3-SHA (0x00,0x0A)			RSA		RSA	3DES(168)	SHA-1
受入 TLSv1.0 RC4-SHA (0x00,0x05)			RSA		RSA	RC4(128)	SHA-1
受入 TLSv1.0 ECDHE-RSA-AES256-SHA (0xC0,0x14)		ECDH	P-256	RSA	AES(256)	SHA-1
受入 TLSv1.0 ECDHE-RSA-AES128-SHA (0xC0,0x13)		ECDH	P-256	RSA	AES(128)	SHA-1
受入 TLSv1.0 ECDHE-RSA-DES-CBC3-SHA (0xC0,0x12)		ECDH	P-256	RSA	3DES(168)	SHA-1

使用中のプロトコル : TLSv1.2
使用中の暗号スイート : AES256-SHA256

これはいったい何をしたいんだと小一時間問い詰めたい。

中国建設銀行

ibsbjstar.ccb.com.cn

受付 プロトコル	SSL暗号スイート名	Kx	Au	Enc		Mac
優先 TLSv1.2 RC4-SHA (0x00,0x05)	RSA	RSA	RC4(128)	SHA-1
受入 TLSv1.2 AES128-SHA (0x00,0x2F)	RSA	RSA	AES(128)	SHA-1
受入 TLSv1.2 AES256-SHA (0x00,0x35)	RSA	RSA	AES(256)	SHA-1
受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A)	RSA	RSA	3DES(168)	SHA-1
受入 TLSv1.2 AES128-SHA256 (0x00,0x3C)	RSA	RSA	AES(128)	SHA256
受入 TLSv1.2 AES256-SHA256 (0x00,0x3D)	RSA	RSA	AES(256)	SHA256
優先 TLSv1.0 RC4-SHA (0x00,0x05)	RSA	RSA	RC4(128)	SHA-1
受入 TLSv1.0 AES128-SHA (0x00,0x2F)	RSA	RSA	AES(128)	SHA-1

使用中のプロトコル : TLSv1.2
使用中の暗号スイート : RC4-SHA

珍しくTLSv1.1は無い(それだけなら悪いわけではない)。暗号スイートの優先順序が謎。TLSv1.2には3DESがあるのにTLSv1.0には入れてないのはどういう意図なのか。結果的にブラウザとの互換性が低い変な選択。
全てが謎の設定。中国政府のご指導の結果こうなったではなく自主的にこうしたなら、たぶん問い詰めても話が通じなさそうなレベル。

中国農業銀行

perbank.abchina.com

受付 プロトコル	SSL暗号スイート名	Kx	Au	Enc		Mac
優先 TLSv1.2 RC4-SHA (0x00,0x05)	RSA	RSA	RC4(128)	SHA-1
受入 TLSv1.2 AES128-SHA (0x00,0x2F)	RSA	RSA	AES(128)	SHA-1
受入 TLSv1.2 AES256-SHA (0x00,0x35)	RSA	RSA	AES(256)	SHA-1
受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A)	RSA	RSA	3DES(168)	SHA-1
受入 TLSv1.2 AES128-SHA256 (0x00,0x3C)	RSA	RSA	AES(128)	SHA256
優先 TLSv1.1 RC4-SHA (0x00,0x05)	RSA	RSA	RC4(128)	SHA-1
受入 TLSv1.1 AES128-SHA (0x00,0x2F)	RSA	RSA	AES(128)	SHA-1
優先 TLSv1.0 RC4-SHA (0x00,0x05)	RSA	RSA	RC4(128)	SHA-1
優先 SSLv3   RC4-SHA (0x00,0x05)	RSA	RSA	RC4(128)	SHA-1

使用中のプロトコル : TLSv1.2
使用中の暗号スイート : RC4-SHA

ここも全体的に何がしたいのか全く不明。

中国銀行

ebsnew.boc.cn

受付 プロトコル	SSL暗号スイート名		Kx		Au	Enc		Mac
優先 TLSv1.2 ECDHE-RSA-AES128-SHA256(0xC0,0x27)	ECDH	P-256	RSA	AES(128)	SHA256
受入 TLSv1.2 AES256-SHA (0x00,0x35)		RSA		RSA	AES(256)	SHA-1
受入 TLSv1.2 AES128-SHA (0x00,0x2F)		RSA		RSA	AES(128)	SHA-1
受入 TLSv1.2 RC4-SHA (0x00,0x05)		RSA		RSA	RC4(128)	SHA-1
受入 TLSv1.2 RC4-MD5 (0x00,0x04)		RSA		RSA	RC4(128)	MD5
受入 TLSv1.2 DES-CBC3-SHA (0x00,0x0A)		RSA		RSA	3DES(168)	SHA-1
優先 TLSv1.1 AES256-SHA (0x00,0x35)		RSA		RSA	AES(256)	SHA-1
受入 TLSv1.1 AES128-SHA (0x00,0x2F)		RSA		RSA	AES(128)	SHA-1
受入 TLSv1.1 RC4-SHA (0x00,0x05)		RSA		RSA	RC4(128)	SHA-1
受入 TLSv1.1 RC4-MD5 (0x00,0x04)		RSA		RSA	RC4(128)	MD5
受入 TLSv1.1 DES-CBC3-SHA (0x00,0x0A)		RSA		RSA	3DES(168)	SHA-1
優先 TLSv1.0 AES256-SHA (0x00,0x35)		RSA		RSA	AES(256)	SHA-1
受入 TLSv1.0 AES128-SHA (0x00,0x2F)		RSA		RSA	AES(128)	SHA-1
受入 TLSv1.0 RC4-SHA (0x00,0x05)		RSA		RSA	RC4(128)	SHA-1
受入 TLSv1.0 RC4-MD5 (0x00,0x04)		RSA		RSA	RC4(128)	MD5
受入 TLSv1.0 DES-CBC3-SHA (0x00,0x0A)		RSA		RSA	3DES(168)	SHA-1
優先 SSLv3   AES256-SHA (0x00,0x35)		RSA		RSA	AES(256)	SHA-1
受入 SSLv3   AES128-SHA (0x00,0x2F)		RSA		RSA	AES(128)	SHA-1
受入 SSLv3   RC4-SHA (0x00,0x05)		RSA		RSA	RC4(128)	SHA-1
受入 SSLv3   RC4-MD5 (0x00,0x04)		RSA		RSA	RC4(128)	MD5
受入 SSLv3   DES-CBC3-SHA (0x00,0x0A)		RSA		RSA	3DES(168)	SHA-1

使用中のプロトコル : TLSv1.2
使用中の暗号スイート : ECDHE-RSA-AES128-SHA256

中国だと下流に合わせるとRC4は外せないか?ブラウザとの互換性を重視した設定。良い方で見れば今回見た中国の大手銀行の中では唯一まとも系?

中国の銀行は日本よりこういう面は進んでるかと思ったら「見えないところはどうでもいい」的な方に合理化?されてた。
あと、証明書のチェーンに入っているCA証明書がSHA-1なのは国策なの?



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です