さて、本日のネタの前に、DROWN攻撃ネタは衝撃が走ったようですねぇ。SSLv2対応サーバと同じ秘密鍵を利用していたらアウト(な可能性がある)ってのも怖いですよね。
で、昨日のセキュリティネクストの記事になりますが、OpenSSLのアップデートがリリースされたという記事がありました。「最新バージョンにアップデートしておけ」はいいんですが、ユーザ側としては使おうとしているサーバのOpenSSLが古いバージョンだったら、((((;゚Д゚))))))) ものですよね。ぱっと見ユーザには分かりませんしね。エラー表示させて、Apacheやnginxのバージョンが表示されることもあるかもしれませんが、隠している場合もありますしね。隠してないサイトであれば、OpenSSLのコマンドを叩けば分かりますしね。(^^;;
地味な作業かもしれませんが、ユーザが安心して使えるように一手間かけてアップデートお願いします。(検証作業もあるでしょうが)
特にクレジットカード情報を入力するサイトならなおさらですよね。