httpsだからといって安全ではない(DROWN攻撃)
こんばんは。駅ナカのセブンイレブンで売ってるドーナツは夜には売り切れているのに、ちょっと外れた住宅地の店舗に行くと、まだ置いてあったりする現象に出くわすことがあります。つい誘惑に負けておからドーナツとコーヒーを買ってしまいそうになるセブンイレブンの思う壺な不覚亭ヨウ素でございます。
今日のネタですが、IT系ニュースサイトを騒がしていたDROWN攻撃について少し書いてみます。私もgigazine.net さんの記事を読んで驚きました。簡単にまとめてしまうと、SSLv2に含まれる脆弱性を利用した攻撃です。既にSSLv2を使ってなくても、サポートしているだけでアウトらしいです。厄介なお話ですねぇ。なので、TLS1.2以外はさっさと止めてしまえという話になるかもしれませんが、それはそれで勇気が要ったりするのかもしれませんね。(^^;; (もちろん止めるに越したことはないのですが)
とにかく、「OpenSSLを最新バージョンにアップデートして、TLS1.2のみ有効にしておけ」ということでしょうか。