この記事は過去のUPKIイニシアティブに掲載されていたものです
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-odcert:00078] Re: SSLCipherSuite
- Subject: [upki-odcert:00078] Re: SSLCipherSuite
- Date: Fri, 28 Nov 2014 18:41:21 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
反応が遅くてすみません。また長文すみません。
SSLCipherSuiteについては、Red Hat推奨値
https://securityblog.redhat.com/2013/12/11/tlsv1-1-and-tlsv1-2-now-available-in-rhel/
HIGH:!aNULL:!MD5:!RC4
Mozilla推奨値
https://wiki.mozilla.org/Security/Server_Side_TLS
長いので省略(intermediateの項)
などありますが、おおむねRC4を含むMEDIUMは排除の方向で進んでいるのかな
と思います。
ただ、RHEL/CentOS 6をお使いの場合は、6.6にアップデートすることをお勧
めします。httpdについてECDHEサポートなどが行なわれたのが6.6となってお
り、それ以前ではopensslコマンドで確認した暗号アルゴリズムが実はhttpd
では使えない、という可能性があります。
Forward Secrecy(PFS)対応については、「PFSが担保されなければ接続を拒否
する」というほど機密性を重要視するサービスでもなければ、上記Mozillaが
推奨しているように「PFSを満足する暗号アルゴリズムの優先度を上げる」く
らいでいいのでは、と考えています。
一方で、CentOS 5の場合はもともとサポートしている暗号アルゴリズムの
数が少ないので工夫の余地があまりありません。これも感覚的なものです
が、シンプルに'HIGH:!aNULL:!MD5'でRC4を除いた形で、PFSなど他の部分
については諦めつつ、機を見てCentOS 6に上げるくらいが妥当かな、などと
考えています。
同様にOpenJDK/Oracle JDKをお使いの場合は、毎回のようにアップデートに
暗号関連の修正が入っているようですので、最新版を使うことをお勧めして
おきます。
最近のアップデート:
https://access.redhat.com/security/cve/CVE-2014-6457 - Triple Handshake attack対策
https://bugzilla.redhat.com/show_bug.cgi?id=1148309 - DH鍵2048bit対応
https://access.redhat.com/security/cve/CVE-2014-6558
7u65
https://bugzilla.redhat.com/show_bug.cgi?id=1119475
https://bugzilla.redhat.com/show_bug.cgi?id=1119476
https://bugzilla.redhat.com/show_bug.cgi?id=1119622
7u60
https://bugzilla.redhat.com/show_bug.cgi?id=1096410
7u55(2014-04-15)
https://bugzilla.redhat.com/show_bug.cgi?id=1086645
7u51(2014-01-15)
https://bugzilla.redhat.com/show_bug.cgi?id=1053010
7u45(2013-10-21)
https://bugzilla.redhat.com/show_bug.cgi?id=1018785
ついでに、上述の6.6でのhttpdアップデート内容の詳細はこちらです。
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/6.6_Technical_Notes/httpd.html#RHBA-2014-1386
の BZ#1071883,1100680, BZ#1090445, BZ#1035818
> もっとも証明書自体が SHA1withRSA WEAK と判定されることからすると
> 暗号化だけ強化してもあまり意味が無いのかも知れません。
ご指摘の通りこの部分が攻撃されれば弱いですが、攻撃のベクトルが違いま
すので、暗号化を強化しておくに越したことはないと思います。世にある攻
撃手法としては暗号化に対するものが多い、という印象です。
もちろん、新サービスでSHA-2の証明書が発行できるようになった暁には、
是非ご利用ください!
On 2014/10/18 12:07, Mitsuru Ogino wrote:
> xxxxxxxxxxx@xxxxxxxxx 購読者各位:
>
> 椙山女学園大学の荻野です。お世話になっております。
>
> SSLv3 の脆弱性対策が世間を騒がせていますが、
>
> SSLProtocol all -SSLv2 -SSLv3
>
> はともかくとして
>
> Qualys SSL Labs - Projects / SSL Server Test
> https://www.ssllabs.com/ssltest/
>
> などで 56bit DES が有効になっていると指摘されて SSLCipherSuite も見直し
> を始めました。
>
> CentOS 6 のデフォルトは、
>
> SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
>
> になっているようです。ネットを検索すると、ALL: から始めていろいろ書くパ
> ターンが多く目につきます。
>
> 一方 Ubuntu 12.04 のデフォルトは
>
> HIGH:MEDIUM:!aNULL:!MD5
>
> と非常にシンプルです。
>
>
> 前記の Qualys SSL Labs の互換性チェックを参考にする限り、
>
> HIGH:!aNULL:!MD5
>
> にしても、IE6 以外は特に接続できないものは無さそうです。IE6 は -SSLv3 に
> 引っかかるので、どうしようもないと理解しています。
>
>
> MEDIUM に属するもので認証なしと MD5 を除外すると以下のリストになります
> が、RC4 以外のものは良くわかりません。少なくとも電子政府推奨暗号リストか
> らすると MEDIUM は全部非推奨に見えます。
>
>> $ openssl ciphers -v 'MEDIUM:!aNULL:!MD5'
>> DHE-RSA-SEED-SHA SSLv3 Kx=DH Au=RSA Enc=SEED(128) Mac=SHA1
>> DHE-DSS-SEED-SHA SSLv3 Kx=DH Au=DSS Enc=SEED(128) Mac=SHA1
>> SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
>> IDEA-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=IDEA(128) Mac=SHA1
>> KRB5-IDEA-CBC-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=IDEA(128) Mac=SHA1
>> ECDHE-RSA-RC4-SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1
>> ECDHE-ECDSA-RC4-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1
>> ECDH-RSA-RC4-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128) Mac=SHA1
>> ECDH-ECDSA-RC4-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128) Mac=SHA1
>> RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
>> PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1
>> KRB5-RC4-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=RC4(128) Mac=SHA1
>
>
> HIGH だけに絞っても DES-CBC3-SHA というメジャーそうなものが残りますが、
> やはり MEDIUM も入れておくべきなんでしょうか。RC4 をサポートして 3DES を
> サポートしていないブラウザ等があるかどうかですが。
>
>> $ openssl ciphers -v 'HIGH:!aNULL:!MD5' | grep DES
>> ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
>> ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
>> EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
>> EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
>> ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
>> ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
>> DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
>> PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
>> KRB5-DES-CBC3-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=3DES(168) Mac=SHA1
>
>
>
> もっとも証明書自体が SHA1withRSA WEAK と判定されることからすると暗号化
> だけ強化してもあまり意味が無いのかも知れません。
>
> Forward Secrecy 対応というのどう考えるべきか…
>
> このあたり、ご意見等をいただければ幸いです。
--
西村健
国立情報学研究所 TEL:03-4212-2890