Ssl

SSL@kanayannet

自己紹介名前: 金澤 宏昭@kanayannetRuby, Perl, JS, CSS, HTML

SSLって?こんな感じ?

暗号化通信で盗聴されずらいもの?

SSLって?正確にはこう

Secure Sockets Layer

インターネットにおいてセキュリティーを要求される通信を行うためのプロトコル

SSLって?SSL v3.0 より後は TLS という

Transport Layer Security

SSLという名称が広く普及しているので これもSSLと言われている。

なぜ話そうと思ったのか?

昨年 SSL を脆弱性が発表されたのでまとめて みたいと思いました。

私のスキルSSL の通信を「0から実装しろ!」 -> 無理http server や アプリケーションを ミドルウェア(apache や openssl)を使い 構築できる程度

私のスキル

でも、多くの人はこのタイプだと思うので 私の説明が共感・役立つと思います。

Heartbleed

脆弱性のあるOpenSSLを利用しているシステムの メモリにアクセスすることが可能

Heartbleed

秘密鍵、ユーザのアカウントおよびパスワード実際にやり取りされたデータを 見られてしまう..

Heartbleed

1.0.1から1.0.1f に脆弱性があります。

ライブラリのバージョン

POODLE攻撃

SSL 3.0 の 脆弱性 を利用する… 256回のリクエストで暗号文の1バイトの解読が可能

POODLE攻撃

TLS のブラウザなら問題ないんじゃね?

POODLE攻撃

古いブラウザだと…TLSで接続失敗(デフォルトSSL) すると…SSL 3.0 で接続し直す。

POODLE攻撃

サーバ側でもTLS未対応ブラウザのために SSLにダウングレードさせる機能が入っているため 可能となっている。

POODLE攻撃ガラケーとか.. IE とか特にね…。

サーバ で無効にする? ブラウザで無効にする?

※今は修正用パッチとか出てますが…

POODLE攻撃

自社管轄サーバにアクセスして貰う際は平気だが… 他社のサイト閲覧時にNG(他社が未対応の危険性)

サーバで無効化

POODLE攻撃

自社の管轄のブラウザは平気だけど… ユーザのブラウザはSSL 3.0 かも?

ブラウザで無効化

POODLE攻撃

両方で対応しましょう!

実際に大変な部分…

SSL3.0 を無効化するとユーザから 「閲覧できない」と連絡が来そう..

使っているOSが古いと…修正パッチが 適応できなかったり…

実際に大変な部分…

クライアントとして自作アプリで 通信する際、不具合がでるかも?

Google が発見

やっぱ凄いんだな～…遠い目

ご静聴 ありがとうございました