ホーム テクノロジー セキュリティ 非公開: HeartBleed SSL の脆弱性をテストして修正するにはどうすればよいですか?

HeartBleed SSL の脆弱性をテストして修正するにはどうすればよいですか?


あなたのウェブサイトはHea​​rtbleed Bugから安全ですか?

Heartbleed バグは、暗号化ソフトウェア ライブラリの OpenSSL の重大な脆弱性です。これにより、Web、電子メール、IM、VPN などのアプリケーションで SSL/TLS 暗号化を介して機密情報を公開することができます。

Heartbleed バグの詳細については、こちらをご覧ください。

この記事では、Web アプリケーションにハートブリードのセキュリティ脆弱性があるかどうかをテストする方法について説明します。

さまざまな OpenSSL バージョンのステータス:-

  • OpenSSL 1.0.1 ~ 1.0.1f (両端を含む) には脆弱性があります
  • OpenSSL 1.0.1g には脆弱性はありません
  • OpenSSL 1.0.0 ブランチは脆弱ではありません
  • OpenSSL 0.9.8 ブランチは脆弱ではありません

F5 を使用して SSL をオフロードしている場合は、 ここを参照して脆弱性があるかどうかを確認できます。

ハートブリード検査ツール

SSLラボ

Qualys による人気のSSL サーバー テストの 1 つは、Heartbleed を含む 50 を超える TLS/SSL 関連の既知の脆弱性についてターゲットをスキャンします。テスト結果ページには、以下のような内容が表示されるはずです。

ssl-labs
ssl-labs

ドムシグナル

Domsignalの TLS スキャナーを使用すると、Web サイトの構成ミスや一般的なセキュリティ上の欠陥がないか迅速にテストできます。

OpenSSL

内部サイトをテストしている場合、またはクラウドベースのスキャナーを使用したくない場合は、OpenSSL を使用できます。次のコマンドがそれに役立ちます。

 echo "QUIT"|openssl s_client -connect facebook.com:443 2>&1|grep 'server extension "heartbeat" (id=15)' || echo safe

例:

 [root@lab ~]# echo "QUIT"|openssl s_client -connect .com:443 2>&1|grep 'server extension "heartbeat" (id=15)' || echo safe
safe
[root@lab ~]#

.com:443 を自分のサイトに置き換えます。

ハートブリードの修正

修正は非常に簡単です。それを修正するには 2 つのことを行う必要があります。

  • OpenSSL を 1.o.1g 以降のバージョンにアップグレードします。
  • アップグレードされたバージョンの OpenSSL を使用して CSR を再生成し、認証局による署名を取得します。署名付き証明書を受け取ったら、それをそれぞれの Web サーバーまたはエッジ デバイスに実装します。

これがお役に立てば幸いです。

「 HeartBleed SSL の脆弱性をテストして修正するにはどうすればよいですか?」についてわかりやすく解説!絶対に観るべきベスト2動画

SSLとその脆弱性を勉強するよ!