tomcatのfreak対応

alkoshikawa 2,142views 更新:2015年3月5日

OpenSSLの脆弱性で「FREAK」というものが流行ってきたようです。
内容は以下にまとめられています。

http://japan.zdnet.com/article/35061288/2/
http://www.itmedia.co.jp/enterprise/articles/1503/04/news054.html

EXPORTという弱い暗号化が使われるとヤバイというものですが
通常新しめのhttpdなどでは

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW

になっているので問題ないようです。

で、TomcatでJDK6でかつAPR無しSSL使っている場合これに当たります。

修正するにはTomcatのsever.xmlのkeystoreなどを書いているところに以下を追加します。

※SHA256など必要な場合は追加する必要あり

ciphers="SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"

Tomcatを再起動して以下の検証コードで試してください。

openssl s_client -connect [target site]:443 -cipher EXPORT

ログイン / 新規登録してコメントする

このソースコードをストックして後で利用したり、作業に利用したソースコードをまとめることができます。

こちらもお役に立つかもしれません