- PR -

128bit未満のSSLを使用できないようにできるのでしょうか?

1
投稿者投稿内容
未記入
大ベテラン
会議室デビュー日: 2007/07/03
投稿数: 136
投稿日時: 2007-09-11 17:50
Nessusでスキャンしたところ、port443で以下のwarningが出ました。

The remote service supports the use of weak SSL ciphers.
Solution:

Reconfigure the affected application if possible to avoid use of
weak ciphers.
Plugin output :

Here is a list of the SSL ciphers supported by the remote server :

Low Strength Ciphers (< 56-bit key)
Medium Strength Ciphers (>= 56-bit and < 112-bit key)
High Strength Ciphers (>= 112-bit key)

これは128bit未満のSSLもサポートしているから使用しないようにというメッセージ
なのかと思うのですが、128bitSSLのみ使用するように設定できるのでしょうか?


あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2007-09-13 14:05
Apache であれば、httpd.conf (v1.3.x) または ssl.conf (v2.x) の SSLCipherSuite を修正して、強度が低い暗号化方式を全て無効にすることで可能です。

[ 修正例 ]

- SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
+ SSLCipherSuite AES:RC4:3DES:!EXP:!ADH:!SSLv2

[ 確認方法 ]

openssl ciphers -v で有効な暗号化方式と強度が確認できます。

$ openssl ciphers -v 'AES:RC4:3DES:!EXP:!ADH:!SSLv2'
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
DHE-DSS-AES128-SHA SSLv3 Kx=DH Au=DSS Enc=AES(128) Mac=SHA1
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
未記入
大ベテラン
会議室デビュー日: 2007/07/03
投稿数: 136
投稿日時: 2007-09-13 23:09
助言通り、apacheは修正してwarningが出ないようになりました。
ありがとうございました。
実はIIS6も動かしておりまして128bit暗号を要求する設定にしたのですが、
依然同じwarningが出ております。
IISでは無理なのでしょうか?
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-09-14 01:17
そのままの設定があります。

暗号化の強度を設定する (IIS 6.0)
_________________
未記入
大ベテラン
会議室デビュー日: 2007/07/03
投稿数: 136
投稿日時: 2007-09-14 13:53
ありがとうございます。
その手順を試したのですが、依然warningが出たままです。
1ホストで複数ドメインを運用しており、その中の1ドメインのみSSLを使用するようにしています。SSLを使用しているドメインのみ下記手順を試したのですが、他にも変更すべき部分があるのでしょうか?
未記入
大ベテラン
会議室デビュー日: 2007/07/03
投稿数: 136
投稿日時: 2007-09-21 17:15
128bit未満で通信できない事が確認できれば問題無いのではないかと
思い、Firefox2を128bit未満の暗号のみ使用するように設定して確認したところ、
128bitの暗号が必要だという表示が出てコンテンツが表示されませんでした。
warningは出ているけど対応不要としてもいいと思いますか?
1

スキルアップ/キャリアアップ(JOB@IT)