最近、Bashのぜい弱性やSSL3.0のぜい弱性の指摘等結構大きな
セキュリティ関連の問題が起きています。
今までもいろいろ問題は指摘されていましたが表面化する事は
少なかったです。
Heartbleedの問題が表面化して以降が結構騒がれている気がします。
しばらくすればまた落ち着くと思いますが、騒がれても騒がれなくても対応をきちんとしたほうがいいんですけどね。
うちのサーバもSSL3.0はまだ有効化していたので無効化対応したいと思います。
構築した内容については「linuxサーバ構築>apache+SSL設定」をご参照下さい。
※特別な設定はしていません。ほとんどデフォルト設定です。
バージョンにもよりますがデフォルトだとsslはSSLv3.0とTLS1.0が有効になっています。
そこでssl.confにSSLv3.0については使わないように記述します。
OSによって書き方が違ったりしますがredhat系はdisableにするバージョンを記述します。
デフォルトでSSLv2は無効化されているのでSSLv3を追記するだけです。
[root@cent5 ~]# vi /etc/httpd/conf.d/ssl.conf
SSLプロトコルの設定項目まで行きます
# SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect. Disable SSLv2 access by default:
SSLProtocol all -SSLv2 -SSLv3←SSLv3の記述を追記する
[root@cent5 ~]#
記述が終わったらapacheの再起動を実施します。
[root@cent5 ~]# /etc/init.d/httpd restart
Stopping httpd: [ OK ]
Starting httpd: [ OK ]
[root@cent5 ~]#
確認はIEのSSLv3.0だけに設定してアクセスして下さい。
画面が表示されなければSSLv3.0は使えない事が分かります。
次にTLS1.0だけに設定してアクセスして下さい。
正常な画面が表示されます。