ApacheやIISなどのサーバでSSL3.0を無効化する方法
SSL3.0の脆弱性で対応に追われているウェブサーバ管理者の方が多いと思いますが、参考情報としてサーバのSSL3.0の切り方をご紹介します。
実際にはSSL3.0自体がダメなんじゃなくて、CBCモードの問題のようで、Googleでは、TLS_FALLBACK_SCSVをサポートすれば良いというコメントのようなものを出しているようですが、そもそも、TLS_FALLBACK_SCSVの設定方法とかが分かりませんので、とりあえずはSSL3.0を切るしかないかと。
Windows XPのIE6だと、TLSがデフォルトでONになっていないようなので、デフォルト状態では接続できなくなりますが、まぁ、既にサポート終わっているOSですし、仕方ないのではないでしょうか。
Apache
httpd.confへ以下を追記します。
SSLProtocol All – SSLv2 -SSLv3
設定を保存したら、Apache を再起動すれば設定が有効になります。
Microsoft IIS
レジストリを変更します。コマンドプロンプトを起動して以下のコマンドを実行してください。
※自己責任でお願いしますね。レジストリ触る前にレジストリのバックアップとっておいた方がよいですよ。
reg add “HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server” /v Enabled /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server” /v Enabled /t REG_DWORD /d 0 /f
この後、サーバを再起動します。IISだけの再起動では反映出来ないみたいです。
nginx
以下のコマンドを実行するだけ、らしいです。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
確認方法
OpenSSLが必要ですが、以下のコマンドでチェックできます。
(コモンネームのところは実際にチェックしたいサイトのFQDNを入れてくださいね)
openssl s_client -ssl3 -connect コモンネーム:443
opensslがない場合やよくわからん、という場合は以下のサイトでチェックしてください。
SSL3.0が有効だとこんな感じに見えます。(クリックして拡大)
コメント