Oct 132005
OpenSSLのSSL 2.0実装に関する脆弱性が公表されました。
Potential SSL 2.0 Rollback (CAN-2005-2969)
影響等については発見者である大岩氏のコメントで説明されています。
FirefoxやIEは既にSSLv2を無効にしていたのですが、Apacheは気にかけてなかったので、これを機会に無効にしてみました。
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP SSLProtocol ALL -SSLv2
SSLCipherSuiteはSSLv2前の!で、SSLProtocolはSSLv2前の–の部分で無効にすることになるはずなのですが、どっちが優先なのでしょう…
この状態でopensslコマンドを使いSSLv2で接続してもhandshakeで失敗するようになります。
$ openssl s_client -connect localhost:443 -ssl2 CONNECTED(00000003) 23355:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:428: $
SSLCipherSuiteで!SSLv2しただけだと
2580:error:1406D0B8:SSL routines:GET_SERVER_HELLO:no cipher list:s2_clnt.c:468:
となりましたので、両方書いた場合はSSLProtocol指定の方が優先されるようです。
Sorry, the comment form is closed at this time.