2014/10/22 on Yano's digital garage https://www.bravotouring.com/~yano/archives/2014/10/22/ Recent content in 2014/10/22 on Yano's digital garage Hugo en-us Wed, 22 Oct 2014 23:52:43 +0900 SSL 3.0に花束を https://www.bravotouring.com/~yano/diary/it/20141022poodle.htm Wed, 22 Oct 2014 23:52:43 +0900 https://www.bravotouring.com/~yano/diary/it/20141022poodle.htm <p>Googleが公表した<a href="http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html">POODLE : exploiting the SSL 3.0 fallback</a>。安全の代名詞のように使われている<span class="Topics">"SSL"</span>で使用されるCBC暗号アルゴリズムに欠陥があり、暗号化トラフィックの一部(Cookie等)を解読される恐れがあるそうな。</p> <table align="right" class="Panorama"> <tr> <td><img alt="「SSL2.0/3.0での接続を禁止する」にチェック" src="https://www.bravotouring.com/~yano/images/2014/20141022poodle.jpg"/></td> </tr> <tr> <td class="PhotoMemo">秀丸メールのアカウント設定より</td> </tr> </table> <p>SSL 3.0って何となく新しいような印象があるのだが、18年前に規定された比較的古いプロトコルだったんだねぇ。</p> <p>対処のポイントはSSL 2.0/3.0ではなくTLS接続にすれば良いという事だが、接続相手がTLS非対応だった場合にSSLにダウングレードしないよう担保する為に<span class="Warning">「SSL 2.0/3.0は使用禁止」</span>とするのが肝要だ。</p> <p>手元の環境でもアウトソース先のメールサーバに突然繋がらなくなって慌てたが、秀丸メールの設定で「SSL2.0/3.0での接続を禁止する」にチェックを入れる事で無事解決。</p> <p>「TwitterやFacebookがSSL 3.0を素早く無効化したためAPIを使ってたアプリが全滅した」という話もあるので、思わぬところで波紋が拡がる可能性もある。</p> <p><a href="https://www.openssl.org/news/secadv_20141015.txt">OpenSSL Security Advisory [15 Oct 2014]</a>では1.0.1j、1.0.0o、0.9.8zcが出たので、アプリも続々と更新中。Google Chromeは特に意識しなくても最新版にアップデートされているはずだが、Firefoxは11月25日にリリース予定の「Firefox 34」まで待たなくてはならない模様。<a href="http://winscp.net/eng/docs/history#5.5.6">WinSCPも5.5.6で対応</a>したので忘れずに。</p> <p>最後に、サーバの設定を変更して<span class="Warning">SSL 3.0と決別する</span>手順を記しておく。</p> <p>まずは<span class="Software">apache</span>の設定ファイル<span class="Path">/etc/apache2/mods-available/ssl.conf</span> <blockquote cite="/etc/apache2/mods-available/ssl.conf" class="Log"> yano@vps:~$ diff -bc /etc/apache2/mods-available/ssl.conf.orig /etc/apache2/mods-available/ssl.conf<br/> *** /etc/apache2/mods-available/ssl.conf.orig 2014-01-07 22:24:23.000000000 +0900<br/> --- /etc/apache2/mods-available/ssl.conf 2014-10-21 10:34:18.754666623 +0900<br/> ***************<br/> *** 74,80 ****<br/> # The protocols to enable.<br/> # Available values: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2<br/> # SSL v2 is no longer supported<br/> ! SSLProtocol all<br/> <br/> # Allow insecure renegotiation with clients which do not yet support the<br/> # secure renegotiation protocol. Default: Off<br/> --- 74,81 ----<br/> # The protocols to enable.<br/> # Available values: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2<br/> # SSL v2 is no longer supported<br/> ! # SSLProtocol all<br/> ! <span class="Topics">SSLProtocol -all</span> +TLSv1 +TLSv1.1 +TLSv1.2<br/> <br/> # Allow insecure renegotiation with clients which do not yet support the<br/> # secure renegotiation protocol. Default: Off<br/> yano@vps:~$ sudo service apache2 reload </blockquote></p>