もう一週間くらい前になりますが、SSLv3の脆弱性が発表されましたね。
記憶に新しい、OpenSSLやBashの脆弱性ほど深刻ではなかったので実は今日まで対策を後回しにしていました・・・
だってPOODLEなんてかわいいじゃないですか。排除してしまうなんて可哀想だし
ついでに暗号強度の低いアルゴリズムは使わないように設定しました。
もっとガチガチに縛っても良いかもしれないのですが、カード番号とかやり取りするわけでもないですし、過去に破られたことのある鍵長だけ廃止すれば良いかな・・・と。
|
1 |
vi /etc/httpd/conf.d/ssl.conf |
|
1 2 |
SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ALL:!aNULL:!eNULL:!EXP:!RC2:!DES:!IDEA:!SEED:!MD5 |
Apache2.4ではデフォルトではSSLv2のみ無効なようですのでSSLProtocolにてSSLv2とSSLv3を利用しないように設定します。
更にSSLCipherSuiteで、暗号強度の低いアルゴリズムを除外するようにしておきました。
SSLHonorCipherOrder ONとかにすれば、サーバ側のアルゴリズムが優先されるようになるので、更に細かく暗号アルゴリズムの指定ができるようになるのですが、まぁ・・・そこまで必要無いサーバなので特に指定はしていません。
あまり厳しくするとスマホから接続できなかったりしますしね。
より良い設定に改良した際は、また更新したいと思います。
