パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

TLS/SSL実装に20年前からの脆弱性、影響範囲は広範」記事へのコメント

  • by Anonymous Coward on 2015年03月11日 16時26分 (#2775781)

    シマンテック SSL Toolbox
    https://ssltools.websecurity.symantec.com/checker/ [symantec.com]

    または、SSL Server Test(時間が掛かります)
    https://www.ssllabs.com/ssltest/ [ssllabs.com]

    もしくは、コマンドラインツールを使って検証
    (EXP から始まるものが含まれているかを確認すれば良い)
    https://github.com/jvehent/cipherscan [github.com]

    Webサーバーサイドでの対策は、opensslバージョンアップだけでなくて、
    SSLCipherSuite で EXPを無効化する必要があると認識しています。

    • by nim (10479) on 2015年03月11日 16時40分 (#2775791)

      >Webサーバーサイドでの対策は、opensslバージョンアップだけでなくて、
      >SSLCipherSuite で EXPを無効化する必要があると認識しています。

      むしろ、OpenSSL のアップデートは必要なくて、ただ CipherSuite に -EXP とか !EXP を足せばいいはず。

      親コメント
    • by Anonymous Coward

      >または、SSL Server Test(時間が掛かります)
      >https://www.ssllabs.com/ssltest/

      いままでA判定出てたしつよい暗号を使うよう SSLCipherSuite を定義しているから関係ないぜ、とおもってたが、
      再度やってみたら評価基準が変わったのか WEAK 判定が出た (A判定は変わらないが) ので
      既にやったことのある人も再度やってみるがよし。

      DHEまわりが 1024bit で WEAK 判定されたが Apache2.2 系ではなすすべ無し。つらい。
      Apache2.4.7 以降と nginx なら適宜設定すれば大丈夫らしい。
      DHEを切ると IE11 が繋がらなくなるようなので、これを切るわけにはいかないようだ。つらい。

      • 新しい脆弱性が発見されて,しかもそれは20年前から存在してた脆弱性なんだから
        判定がWEAKに変化して当然だと思います

        今回の脆弱性を発見した InriaとMicrosoft Researchの合同チームは
        最近精力的にTLS/SSLの見直しをおこなっていることで有名になっています

        例えば,網羅的にテストを行なう自動検証用ツールを作ったりしていて,論文も大量に出しています
        かなりの予算と人数を投入して作業しているようですし,検証手順も新しい切り口が多いので
        これからも次々と脆弱性が発見されるはずです

        ですからTLS/SSL周りは今後も定期的にチェックした方が良いと思います.

        親コメント

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...