SSL @kanayannet
SSL@kanayannet
自己紹介名前: 金澤 宏昭@kanayannetRuby, Perl, JS, CSS, HTML
SSLって?こんな感じ?
暗号化通信で盗聴されずらいもの?
SSLって?正確にはこう
Secure Sockets Layer
インターネットにおいてセキュリティーを要求される通信を行うためのプロトコル
SSLって?SSL v3.0 より後は TLS という
Transport Layer Security
SSLという名称が広く普及しているので これもSSLと言われている。
なぜ話そうと思ったのか?
昨年 SSL を脆弱性が発表されたのでまとめて みたいと思いました。
私のスキルSSL の通信を「0から実装しろ!」 -> 無理http server や アプリケーションを ミドルウェア(apache や openssl)を使い 構築できる程度
私のスキル
でも、多くの人はこのタイプだと思うので 私の説明が共感・役立つと思います。
Heartbleed
脆弱性のあるOpenSSLを利用しているシステムの メモリにアクセスすることが可能
Heartbleed
秘密鍵、ユーザのアカウントおよびパスワード実際にやり取りされたデータを 見られてしまう..
Heartbleed
1.0.1から1.0.1f に脆弱性があります。
ライブラリのバージョン
POODLE攻撃
SSL 3.0 の 脆弱性 を利用する… 256回のリクエストで暗号文の1バイトの解読が可能
POODLE攻撃
TLS のブラウザなら問題ないんじゃね?
POODLE攻撃
古いブラウザだと…TLSで接続失敗(デフォルトSSL) すると…SSL 3.0 で接続し直す。
POODLE攻撃
サーバ側でもTLS未対応ブラウザのために SSLにダウングレードさせる機能が入っているため 可能となっている。
POODLE攻撃ガラケーとか.. IE とか特にね…。
サーバ で無効にする? ブラウザで無効にする?
※今は修正用パッチとか出てますが…
POODLE攻撃
自社管轄サーバにアクセスして貰う際は平気だが… 他社のサイト閲覧時にNG(他社が未対応の危険性)
サーバで無効化
POODLE攻撃
自社の管轄のブラウザは平気だけど… ユーザのブラウザはSSL 3.0 かも?
ブラウザで無効化
POODLE攻撃
両方で対応しましょう!
実際に大変な部分…
SSL3.0 を無効化するとユーザから 「閲覧できない」と連絡が来そう..
使っているOSが古いと…修正パッチが 適応できなかったり…
実際に大変な部分…
クライアントとして自作アプリで 通信する際、不具合がでるかも?
Google が発見
やっぱ凄いんだな~…遠い目
ご静聴 ありがとうございました