ライン

ポイント:POODLE対応でSSLv3も止める

ライン

 はじめに

 GMOの無償ウェブサービス「SSLチェックツール」で確認して現在のapache22をマシな設定に変更していくことにします。

グレード「Fマイナー」って残念な感じです。自己認証鍵を使ったサイトを確認した際のものです。

 設定ファイル

/usr/local/etc/apache22

 指摘された通りを見ていくことにします。

 「セキュリティー上、問題があるのでSSL v2は無効にするべきです」「サーバはSSL v2が有効化されています」とのこと。
これは最近他でも見た話でしたし。すぐやろう…で進みます。
mod_ssl - Apache HTTP Serverを見ておくことにします。
/usr/local/etc/apache22/extraのhttpd-ssl.confを修正する。

#   SSL Cipher Suite:
#   List the ciphers that the client is permitted to negotiate.
#   See the mod_ssl documentation for a complete list.
# 20141101
##SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLProtocol -ALL -SSLv2 -SSLv3 +TLSv1
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM;
SSLHonorCipherOrder on

 1行をコメント化して、サービスを再起動。

# service apache22 configtest
Performing sanity check on apache22 configuration:
Syntax OK
# service apache22 restart
Performing sanity check on apache22 configuration:
Syntax OK
Stopping apache22.
Waiting for PIDS: 1105.
Performing sanity check on apache22 configuration:
Syntax OK
Starting apache22.

 こんな感じで、訂正を入れて確認していきます。
こんな便利なページは結構あるのですが、日本語でアドバイスページまで出るのは便利です。

 いいんです。生よりよりはマシと思って入れているページなので。ほっといてください!

  これも見たことあるな。結局はブラウザが対応しているとかいないとかの奴かな。
「ユーザは中間者攻撃にさらされる可能性があります。」「サーバはHTTP Strict-Transport-Securityが有効になっていません。」
そんな設定した覚えないし。対処することにしました。
 しかしながら、具体的なソリューションが書かれていないな。HTTP Strict Transport Security (HSTS)の設定例は、読んだことあるので一応捜して適用してみます。

# 20140402
Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"

 同様にこんな感じで突っ込んでみる。そして再起動。
警告の項目がまた1つ消えました。

 さっき、SSLCipherSuite直した際に一緒にソリューションして欲しかった。

#SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM;
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:HIGH:MEDIUM:!aNULL:!MD5:!RC4:!EDH:!AESGCM;

 これでこれも解決。

 チェックでエラーが復活。そりゃ、RC4削ったからですね。

 何度もチェックするのでちょっとお気の毒になってきましたが。繰り返し実施してつめていきます。

# SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLCipherSuite AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!EXP:!IDEA:!SEED:!EDH:!aNULL:!eNULL

こんなにしてみました。結局は、1つ前の警告復活です。

 これを先にしちゃいます。
「サーバはより新しいTLSプロトコルのバージョンを使用できるようにするべきです。」「TLS v1.1 とTLS v1.2を有効にするべきです。」
ふむ。

 どっちにしても、まだグレードF。これは自己署名な鍵のままでは変わらないのでしょう。

 折角だし、最近無料でもらったSSL認証局のやつでも見ておくことにしました。これは今nginxで動作させているPCです。

 グレードBとなっていました。毎月恒例の脆弱性対策。いつまで続くでしょうか。

【改訂履歴】作成:2014/04/02 更新:-
【参考リンク】

*

Copyright © 1996,1997-2006,2007- by F.Kimura,