アカウント名:
パスワード:
シマンテック SSL Toolbox https://ssltools.websecurity.symantec.com/checker/ [symantec.com]
または、SSL Server Test(時間が掛かります) https://www.ssllabs.com/ssltest/ [ssllabs.com]
もしくは、コマンドラインツールを使って検証(EXP から始まるものが含まれているかを確認すれば良い) https://github.com/jvehent/cipherscan [github.com]
Webサーバーサイドで
>または、SSL Server Test(時間が掛かります)>https://www.ssllabs.com/ssltest/
いままでA判定出てたしつよい暗号を使うよう SSLCipherSuite を定義しているから関係ないぜ、とおもってたが、再度やってみたら評価基準が変わったのか WEAK 判定が出た (A判定は変わらないが) ので既にやったことのある人も再度やってみるがよし。
DHEまわりが 1024bit で WEAK 判定されたが Apache2.2 系ではなすすべ無し。つらい。Apache2.4.7 以降と nginx なら適宜設定すれば大丈夫らしい。DHEを切ると IE11 が繋がらなくなるようなので、これを切るわけにはいかないようだ。つらい。
新しい脆弱性が発見されて,しかもそれは20年前から存在してた脆弱性なんだから判定がWEAKに変化して当然だと思います
今回の脆弱性を発見した InriaとMicrosoft Researchの合同チームは最近精力的にTLS/SSLの見直しをおこなっていることで有名になっています
例えば,網羅的にテストを行なう自動検証用ツールを作ったりしていて,論文も大量に出していますかなりの予算と人数を投入して作業しているようですし,検証手順も新しい切り口が多いのでこれからも次々と脆弱性が発見されるはずです
ですからTLS/SSL周りは今後も定期的にチェックした方が良いと思います.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
FREAK脆弱性チェック方法 (スコア:4, 参考になる)
シマンテック SSL Toolbox
https://ssltools.websecurity.symantec.com/checker/ [symantec.com]
または、SSL Server Test(時間が掛かります)
https://www.ssllabs.com/ssltest/ [ssllabs.com]
もしくは、コマンドラインツールを使って検証
(EXP から始まるものが含まれているかを確認すれば良い)
https://github.com/jvehent/cipherscan [github.com]
Webサーバーサイドで
Re: (スコア:0)
>または、SSL Server Test(時間が掛かります)
>https://www.ssllabs.com/ssltest/
いままでA判定出てたしつよい暗号を使うよう SSLCipherSuite を定義しているから関係ないぜ、とおもってたが、
再度やってみたら評価基準が変わったのか WEAK 判定が出た (A判定は変わらないが) ので
既にやったことのある人も再度やってみるがよし。
DHEまわりが 1024bit で WEAK 判定されたが Apache2.2 系ではなすすべ無し。つらい。
Apache2.4.7 以降と nginx なら適宜設定すれば大丈夫らしい。
DHEを切ると IE11 が繋がらなくなるようなので、これを切るわけにはいかないようだ。つらい。
Re:FREAK脆弱性チェック方法 (スコア:1)
新しい脆弱性が発見されて,しかもそれは20年前から存在してた脆弱性なんだから
判定がWEAKに変化して当然だと思います
今回の脆弱性を発見した InriaとMicrosoft Researchの合同チームは
最近精力的にTLS/SSLの見直しをおこなっていることで有名になっています
例えば,網羅的にテストを行なう自動検証用ツールを作ったりしていて,論文も大量に出しています
かなりの予算と人数を投入して作業しているようですし,検証手順も新しい切り口が多いので
これからも次々と脆弱性が発見されるはずです
ですからTLS/SSL周りは今後も定期的にチェックした方が良いと思います.