少しでも安全なSSL設定に

SSLv3の脆弱性(POODLE)を受けて、SSLの設定を見なおしてみる。

Apache

とりあえず、現状を知るべくGlobalSignのSSLチェッカーでチェックしてみる。
https://sslcheck.globalsign.com/ja

www.galaweb.jp

総合得点「グレードF」。。。

これはあかん!
ということで、とりあえず対処が簡単な以下について設定してみる。
SSLProtocol:SSLv3は無効化
SSLCipherSuite:割と安全そうなものを使用


SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ALL:!aNULL:!SSLv3:!SSLv2:!EXP:!MD5:!RC4:!LOW:+HIGH:+MEDIUM

2014.11.14 更新

www.galaweb.jp_after

総合得点「グレードA-

Postfix

現状確認

v3が有効なので無効化

AWS ELB

以下の指示通りに設定変更
http://aws.amazon.com/jp/security/security-bulletins/CVE-2014-3566-advisory/

Amazon Elastic Load Balancing:
All load balancers created after 10/14/2014 5:00 PM PDT will use a new SSL Negotiation Policy that will by default no longer enable SSLv3.

Customers that require SSLv3 can reenable it by selecting the 2014-01 SSL Negotiation Policy or manually configuring the SSL ciphers and protocols used by the load balancer. For existing load balancers, please follow the steps below to disable SSLv3 via the ELB Management
Console:
1. Select your load balancer (EC2 > Load Balancers).
2. In the Listeners tab, click “Change” in the Cipher column.
3. Ensure that the radio button for “Predefined Security Policy” is selected
4. In the dropdown, select the “ELBSecurityPolicy-2014-10” policy.
5. Click “Save” to apply the settings to the listener.
6. Repeat these steps for each listener that is using HTTPS or SSL for each load balancer.

For more information, please see http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

とりあえず今後はこれをデフォルトにしよう。

Author: soh

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA