2014年10月14日、Googleのセキュリティチームから、SSL 3.0に含まれる脆弱性についてのアナウンスがありました。
脆弱性が悪用された場合、攻撃者が傍受したHTTPSトラフィックから、暗号化されたトラフィックの一部(認証Cookieなど)が解読される恐れがあります。
- 影響を受ける条件
- SSL 3.0による通信が有効なサーバ
- 対策方法
- SSLサーバ証明書の再発行や再インストールの必要はありません。
ウェブサーバー側でSSL 3.0のサポートを無効にし、TLS1.0以降のプロトコルを有効にします。- SSL 3.0による通信が行われていない場合でも、SSL 3.0が有効な場合、ダウングレードしSSL 3.0にて通信を行うことが可能なため、無効にすることが必要です。
- SSLサーバ証明書の再発行や再インストールの必要はありません。
- Apacheの場合
-
- サーバにSSH接続し、以下のコマンドを参考に入力してください。
openssl s_client -ssl3 -connect www.example.com:443
- 以下のエラーメッセージが表示される場合、SSL 3.0は無効になっていますので、対策の必要はありません。
SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40※多少、異なることがあります。
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx: - SSL 3.0を無効にする設定例
SSL設定ファイル(httpd.conf、ssl.confなど)で、「-SSLv3」を追加します。SSLProtocol all -SSLv2 -SSLv3 - サーバを再起動します。
- サーバにSSH接続し、以下のコマンドを参考に入力してください。
- IISの場合
- マイクロソフトのページに記載がありますので、参考にしてください。
- 一般的なウェブサーバでの基本的な手順を記載していますので、参考資料として確認してください。詳細は、レンタルサーバ会社、サーバマニュアルで確認してください。
水曜日, 10月 15, 2014