あなたのウェブサイトは FREAK 攻撃から安全ですか?
最近、Web セキュリティが話題になっています。セキュリティ専門家を忙しくさせる何かが常にあり、脆弱性の名前は、Heart Bleed、Poodle、そして今回の Freak Attack のように、少しキャッチーです。
このガイドでは、Web サイトが影響を受けるかどうかを特定する方法と、脆弱性を修正する手順について説明します。
導入
Freak Attack に興味がある場合、または Freak Attack について知らない場合は、ここで少し説明します。 Karthikeyan Bhargavan 氏は、 パリの INRIA で FREAK 攻撃の脆弱性を発見しました。
2015 年 3 月 3 日に、新しい SSL/TLS の脆弱性により、攻撃者が脆弱なクライアントとサーバー間の HTTPS 接続を傍受し、弱い暗号化の使用を強制できる可能性があることが発表されました。これは、攻撃者が機密データを盗んだり操作したりするのに役立ちます。
サーバーが脆弱かどうかを確認する
Web サーバーが RSA_EXPORT 暗号スイートを受け入れる場合、危険にさらされます。次のリンクで、HTTPS URL に対するチェックを実行できます。
- https://www.sslabs.com/ssltest/
- https://.com/tools/tls-scanner
- https://tools.keycdn.com/freak
FREAK攻撃のセキュリティ脆弱性を修正
Apache HTTP サーバー – httpd.conf または SSL 設定ファイルに以下を追加することで、EXPORT 暗号スイートを無効にできます。
SSLCipherSuite !EXPORT
構成ファイルにすでに SSLCipherSuite 行がある可能性があります。その場合は、行の末尾に
!EXPORT
を追加するだけです。
構成に慣れていない場合は、Apache Web サーバーのセキュリティと強化ガイドを読んでください。
Nginx – 構成ファイルに以下を追加します。
ssl_ciphers '!EXPORT';
さらに、 SSL 構成ジェネレーター または Mozilla 推奨構成 を使用して、SSL/TLS 脆弱性を保護できます。
Web サイトの所有者またはセキュリティ エンジニアは、Web サイトに対してセキュリティ スキャンを定期的に実行して、新しい脆弱性を見つけて通知を受け取る必要があります。
Logjam 攻撃の修正にも興味があるかもしれません。