NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

httpsだからといって安全ではない(DROWN攻撃)

 こんばんは。駅ナカセブンイレブンで売ってるドーナツは夜には売り切れているのに、ちょっと外れた住宅地の店舗に行くと、まだ置いてあったりする現象に出くわすことがあります。つい誘惑に負けておからドーナツとコーヒーを買ってしまいそうになるセブンイレブンの思う壺な不覚亭ヨウ素でございます。

 今日のネタですが、IT系ニュースサイトを騒がしていたDROWN攻撃について少し書いてみます。私もgigazine.net さんの記事を読んで驚きました。簡単にまとめてしまうと、SSLv2に含まれる脆弱性を利用した攻撃です。既にSSLv2を使ってなくても、サポートしているだけでアウトらしいです。厄介なお話ですねぇ。なので、TLS1.2以外はさっさと止めてしまえという話になるかもしれませんが、それはそれで勇気が要ったりするのかもしれませんね。(^^;; (もちろん止めるに越したことはないのですが)
 こちらはDROWN攻撃に対する脆弱性の有無を確認するサイトです。https://drownattack.com/ にサーバのFQDNIPアドレスを入れると判定してくれるそうです。
 とにかく、「OpenSSLを最新バージョンにアップデートして、TLS1.2のみ有効にしておけ」ということでしょうか。