DROWN(CVE-2016-0800)のセキュリティチェックツールをインストールしてた@CentOS6.7
きたる2016/3/1に予告されてたOpenSSLのセキュリティアドバイザリのなかで脆弱性が公開されましたね。
OpenSSL Security Advisory [1st March 2016]
そのなかで、大きく取り上げられているのがCVE-2016-0800、愛称が「DROWN」という脆弱性です。
脆弱性自体の詳細は他のまとめサイトなどを参照してみてください。
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
サーバー管理者として気になるのは、自身の運用しているサーバーに脆弱性があるか/ないかですね。
SSLv2なんて随分の昔に無効化してるよって思っても意外に、残ってたりするんです。
なので外部チェックは大事です。
SSLCipherSuite設定メモ2
以前、SSLCipherSuite設定メモ - ゆとりインフラエンジニアのブログ的な何か
下記SSLのチェックサイトで、
SSL Server Test (Powered by Qualys SSL Labs)
あるサーバーでのWEBサイトの結果が、
SSLCipherSuiteの設定がA判定がでるサイト同じなのに、A判定にならないと悩んででいたのです。
出てくるアドバイス的なものを見ると、
The server does not support Forward Secrecy with the reference browsers
続きを読むHurricane Electricの無料DNSホスティングサービスを試す
putty 配色設定あれこれ
最近、tmux(http://tmux.sourceforge.net/)を使用するようになって、
今まで使用していたPoderosa(http://poderosa.sourceforge.net/)では、
表示が崩れることが多いので、puttyに乗り換えました。
利用しているputtyはD2D/DW PuTTY iceiv+putty
テキストレンダリングエンジンにDirect2D/DirectWrite使用しているらしく綺麗です。
また、半角と全角のフォントを別々に設定できるので、日本語の環境でもバッチリです。
ちなみに、私は[半角]⇒Consolas、[全角]⇒メイリオで使用してます。
やはり、tmuxの表示が崩れないことはいいのですが、
デフォルト配色ではとても見難い。特に青が!
なので、自分なりの見やすい配色をいじってみました。
続きを読むSSLCipherSuite設定メモ
SSLの暗号化強度とかいろいろ気になったので調べてみた。
下記サイトで調査したいドメイン名を入れるとまずい部分とか指摘してくれる。
https://sslcheck.globalsign.com
https://www.ssllabs.com/ssltest/
設定に参考にしたサイト
ApacheのSSLCipherSuiteにRC4を設定すべきではない - Qiita
Security Labs: Configuring Apache, Nginx, and O... | Qualys Community
結局、下記設定に落ち着いた。
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
上記設定だといろいろ見れないブラウザがあるので、
調べていたところ、下記サイトを見つけた。
Generate Mozilla Security Recommended Web Server Configuration Files
これは、SSLを使うソフト、Apache, Naginx, HAproxyのどれかを選択し、
SSLの設定形式Modern, Intermediate, Oldを選択すると、
ほぼコピペで設定ができてしまうというジェネレーター。
便利!ありがとうMozillaさん!
2016/03/06 追記
うまくSSLチェックサイトA判定にならない、そんな時