[upki-odcert:00078] Re: SSLCipherSuite

Subject: [upki-odcert:00078] Re: SSLCipherSuite
Date: Fri, 28 Nov 2014 18:41:21 +0900
From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>

西村です。

反応が遅くてすみません。また長文すみません。

SSLCipherSuiteについては、Red Hat推奨値
https://securityblog.redhat.com/2013/12/11/tlsv1-1-and-tlsv1-2-now-available-in-rhel/

	HIGH:!aNULL:!MD5:!RC4

Mozilla推奨値
https://wiki.mozilla.org/Security/Server_Side_TLS

	長いので省略（intermediateの項）

などありますが、おおむねRC4を含むMEDIUMは排除の方向で進んでいるのかな
と思います。

ただ、RHEL/CentOS 6をお使いの場合は、6.6にアップデートすることをお勧
めします。httpdについてECDHEサポートなどが行なわれたのが6.6となってお
り、それ以前ではopensslコマンドで確認した暗号アルゴリズムが実はhttpd
では使えない、という可能性があります。

Forward Secrecy(PFS)対応については、「PFSが担保されなければ接続を拒否
する」というほど機密性を重要視するサービスでもなければ、上記Mozillaが
推奨しているように「PFSを満足する暗号アルゴリズムの優先度を上げる」く
らいでいいのでは、と考えています。

一方で、CentOS 5の場合はもともとサポートしている暗号アルゴリズムの
数が少ないので工夫の余地があまりありません。これも感覚的なものです
が、シンプルに'HIGH:!aNULL:!MD5'でRC4を除いた形で、PFSなど他の部分
については諦めつつ、機を見てCentOS 6に上げるくらいが妥当かな、などと
考えています。

同様にOpenJDK/Oracle JDKをお使いの場合は、毎回のようにアップデートに
暗号関連の修正が入っているようですので、最新版を使うことをお勧めして
おきます。
最近のアップデート:
https://access.redhat.com/security/cve/CVE-2014-6457 - Triple Handshake attack対策
https://bugzilla.redhat.com/show_bug.cgi?id=1148309 - DH鍵2048bit対応
https://access.redhat.com/security/cve/CVE-2014-6558
7u65
https://bugzilla.redhat.com/show_bug.cgi?id=1119475
https://bugzilla.redhat.com/show_bug.cgi?id=1119476
https://bugzilla.redhat.com/show_bug.cgi?id=1119622
7u60
https://bugzilla.redhat.com/show_bug.cgi?id=1096410
7u55(2014-04-15)
https://bugzilla.redhat.com/show_bug.cgi?id=1086645
7u51(2014-01-15)
https://bugzilla.redhat.com/show_bug.cgi?id=1053010
7u45(2013-10-21)
https://bugzilla.redhat.com/show_bug.cgi?id=1018785

ついでに、上述の6.6でのhttpdアップデート内容の詳細はこちらです。
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/6.6_Technical_Notes/httpd.html#RHBA-2014-1386
の BZ#1071883,1100680, BZ#1090445, BZ#1035818

> もっとも証明書自体が SHA1withRSA   WEAK と判定されることからすると
> 暗号化だけ強化してもあまり意味が無いのかも知れません。

ご指摘の通りこの部分が攻撃されれば弱いですが、攻撃のベクトルが違いま
すので、暗号化を強化しておくに越したことはないと思います。世にある攻
撃手法としては暗号化に対するものが多い、という印象です。

もちろん、新サービスでSHA-2の証明書が発行できるようになった暁には、
是非ご利用ください！


On 2014/10/18 12:07, Mitsuru Ogino wrote:
> xxxxxxxxxxx@xxxxxxxxx 購読者各位：
> 
> 椙山女学園大学の荻野です。お世話になっております。
> 
> SSLv3 の脆弱性対策が世間を騒がせていますが、
> 
>    SSLProtocol all -SSLv2 -SSLv3
> 
> はともかくとして
> 
>    Qualys SSL Labs - Projects / SSL Server Test
>    https://www.ssllabs.com/ssltest/
> 
> などで 56bit DES が有効になっていると指摘されて SSLCipherSuite も見直し
> を始めました。
> 
> CentOS 6 のデフォルトは、
> 
>    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
> 
> になっているようです。ネットを検索すると、ALL: から始めていろいろ書くパ
> ターンが多く目につきます。
> 
> 一方 Ubuntu 12.04 のデフォルトは
> 
>    HIGH:MEDIUM:!aNULL:!MD5
> 
> と非常にシンプルです。
> 
> 
> 前記の Qualys SSL Labs の互換性チェックを参考にする限り、
> 
>    HIGH:!aNULL:!MD5
> 
> にしても、IE6 以外は特に接続できないものは無さそうです。IE6 は -SSLv3 に
> 引っかかるので、どうしようもないと理解しています。
> 
> 
> MEDIUM に属するもので認証なしと MD5 を除外すると以下のリストになります
> が、RC4 以外のものは良くわかりません。少なくとも電子政府推奨暗号リストか
> らすると MEDIUM は全部非推奨に見えます。
> 
>> $ openssl ciphers -v 'MEDIUM:!aNULL:!MD5'
>> DHE-RSA-SEED-SHA        SSLv3 Kx=DH       Au=RSA  Enc=SEED(128) Mac=SHA1
>> DHE-DSS-SEED-SHA        SSLv3 Kx=DH       Au=DSS  Enc=SEED(128) Mac=SHA1
>> SEED-SHA                SSLv3 Kx=RSA      Au=RSA  Enc=SEED(128) Mac=SHA1
>> IDEA-CBC-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=IDEA(128) Mac=SHA1
>> KRB5-IDEA-CBC-SHA       SSLv3 Kx=KRB5     Au=KRB5 Enc=IDEA(128) Mac=SHA1
>> ECDHE-RSA-RC4-SHA       SSLv3 Kx=ECDH     Au=RSA  Enc=RC4(128)  Mac=SHA1
>> ECDHE-ECDSA-RC4-SHA     SSLv3 Kx=ECDH     Au=ECDSA Enc=RC4(128)  Mac=SHA1
>> ECDH-RSA-RC4-SHA        SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128)  Mac=SHA1
>> ECDH-ECDSA-RC4-SHA      SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128)  Mac=SHA1
>> RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1
>> PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1
>> KRB5-RC4-SHA            SSLv3 Kx=KRB5     Au=KRB5 Enc=RC4(128)  Mac=SHA1
> 
> 
> HIGH だけに絞っても DES-CBC3-SHA というメジャーそうなものが残りますが、
> やはり MEDIUM も入れておくべきなんでしょうか。RC4 をサポートして 3DES を
> サポートしていないブラウザ等があるかどうかですが。
> 
>> $ openssl ciphers -v 'HIGH:!aNULL:!MD5' | grep DES
>> ECDHE-RSA-DES-CBC3-SHA  SSLv3 Kx=ECDH     Au=RSA  Enc=3DES(168) Mac=SHA1
>> ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH     Au=ECDSA Enc=3DES(168) Mac=SHA1
>> EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
>> EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
>> ECDH-RSA-DES-CBC3-SHA   SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
>> ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
>> DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
>> PSK-3DES-EDE-CBC-SHA    SSLv3 Kx=PSK      Au=PSK  Enc=3DES(168) Mac=SHA1
>> KRB5-DES-CBC3-SHA       SSLv3 Kx=KRB5     Au=KRB5 Enc=3DES(168) Mac=SHA1
> 
> 
> 
> もっとも証明書自体が SHA1withRSA   WEAK と判定されることからすると暗号化
> だけ強化してもあまり意味が無いのかも知れません。
> 
> Forward Secrecy 対応というのどう考えるべきか…
> 
> このあたり、ご意見等をいただければ幸いです。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890

Follow-Ups:
- [upki-odcert:00080] Google Chrome の SHA-1 証明書表示
  - From: Mitsuru Ogino
- [upki-odcert:00079] Re: SSLCipherSuite
  - From: Mitsuru Ogino

References:
- [upki-odcert:00077] SSLCipherSuite
  - From: Mitsuru Ogino

Prev by Date: [upki-odcert:00077] SSLCipherSuite
Next by Date: [upki-odcert:00079] Re: SSLCipherSuite
Previous by thread: [upki-odcert:00077] SSLCipherSuite
Next by thread: [upki-odcert:00079] Re: SSLCipherSuite
Index(es):
- Date
- Thread