Logjamの脆弱性について

あー、またっすか・・・

今回のやつはFreakと似ていて、ブラウザからサーバーに接続するときに第3者が暗号のグレードを下げれるという問題のようです。

http://www.itmedia.co.jp/enterprise/articles/1505/21/news055.html

修正の対象は

  • ブラウザ・・・暗号のグレードが変更されない修正する、またはDHE_EXPORT無効かな?
  • サーバー・・・DHE_EXPORTを無効化する

となるようです。

ブラウザの方はそのうち修正バージョンが出ると思いますが、 サーバーのほうは検証して設定変更しないといけません。

検証コードは

openssl s_client -connect {domain}:443 -cipher EXP -tls1

で接続できれば基本的にアウトかと思います。

サーバーがサポートしているciphersの表示は以下で見ることが可能です。

nmap --script ssl-enum-ciphers -p 443 {domain} 

EXPORTがいる場合それが使えると思います。

nmapのバージョンを6以降にすると暗号が強いか弱いか表示してくれるので、最新版を入れると良さげです。

Macの場合はbrewでインストールできます。

brew install nmap

なおnmapで出てくるcipherとOpenSSLで出てくるcipherは一致しませんのでご注意ください。

opensslで使用可能なcipherの表示は

openssl ciphers 

で表示されます、EXPORTグレードで絞りたい場合は

openssl ciphers EXP

で表示されます。

修正方法は

https://weakdh.org/sysadmin.html

こちらに出ているようですが、まだ未確認です。