明日はまた休みとなると俄然やる気になりますなー。早く帰りたい的な意味で。
Webサーバの検査でなんかいろいろ問題があるそうで。どうもSSLのセッション鍵に40bitの鍵長を使えるようになっているのが問題らしいのだけど。まあそれが問題なのはまあ分からないでもないが。SSLの基本的な点は知ってるつもりだけど、個別の実装についてはぜんぜん知らないんだよねえ。ネットワークもDBもそんな感じ。サーバ/クライアント双方が複数の暗号方式をサポートしている場合(多くの場合はこれにあたるはず)、どんな優先順で暗号アルゴリズム(と鍵長)が決定されるんだろう。で、まあいろいろ調べた結果、SSLのセッション鍵の鍵長はサーバ/クライアント双方が使えるもののうち一番長いもの(128bitとか256bitとか)になるらしい。Server Gated Cryptgraphyとかって技術もあるそうなんだけどとりあえずそれはおいておく。なので、現状でも最新のブラウザのみサポートとするなら問題ないはずだ。
古いブラウザの場合だとクライアントが使用可能な暗号アルゴリズムの鍵長が40bitのみということがあり得て(?)、そのとき接続を許さないようにしないとダメ(もともと古いブラウザはサポート外)と言うことなのかな、と。apacheでの設定方法は「SSL 40bit」あたりでぐぐると出てくるんだけど、IISでこれをどう設定するのかと言うのが問題なわけだ。もう少し調べてみると、どうもKB245030で設定できそうに読める。機械翻訳は何書いてあるかわかんないので英語版を読んだ方がいいかも。これを読む限りだと特定のレジストリエントリを編集することで(IISおよびIEで)使用可能な暗号スイートを制限できるっぽいので、40bitとか56bitとかって入ってるのを軒並み禁止すればいいんじゃないのかなー。ついでにSSL2.0での接続もここで禁止できそう。まあこっちはどうでも良いんだけど。とまあそんな感じで一応調べはついたんだけど検証環境がないんだよねー。
そんな感じで帰って来たのが23時。もっと早く帰ってくるつもりだったのになあ。