SSL Labsで検出された脆弱性に対処する(RC4の無効化)

はじめに

プロフェッショナルSSL/TLSを読んでいて、SSL LabsというSSL/TLSの脆弱性チェックを行ってくれるサイトがあることを知りました。

試しにこのブログの脆弱性をチェックします。

SSL Labsとは

SSL/TLSに関するベストプラクティスや脆弱性チェックツールを提供しているサイトです。Qualys社によって運営されています。

ブログの脆弱性をチェック

こんな結果がでました。

暗号スイートにRC4を利用できることが問題のようです。

検出された脆弱性に対処

対処前の状態をopensslでチェック

opensslでRC4を含む暗号スイートで接続できることを確認します。

[root@hostname]openssl s_client -connect www.kannon.link:443 -cipher RC4-SHA
CONNECTED(00000003)
...
---
SSL handshake has read ...
---

ApacheHTTPServerの設定変更

/etc/httpd/conf.d/ssl.confでSSLCipherSuiteに以下を指定し、httpdをrestartします。

SSLCipherSuite     ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256

SSLCipherSuiteの値は、SSL Labsが公開しているSSL and TLS Deployment Best Practicesを参考に設定しました。

対処後の状態をopensslでチェック

opensslでRC4を含む暗号スイートで接続できないことを確認します。

[root@hostname]openssl s_client -connect www.kannon.link:443 -cipher RC4-SHA
CONNECTED(00000003)
140046894778208:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:769:

ブログの脆弱性を再チェック

RC4の脆弱性は解消されました。

参考リンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA