個別に対策してきた脆弱性についてもまとめ。
脆弱性の有名どころと対策
Heartbleed
・OpenSSLのバージョン 1.0.1g以降を使用すること
POODLE
・SSLv3の使用を中止。併せてSSLv2も同様に使用中止
※Apache2.2をmod_sslの場合
・SSLProtocol に「-SSLv2 -SSLv3」を追加する。
FREAK
・Export Cipherの使用を中止。
※Apache2.2をmod_sslの場合
・SSLCipherSuite に追加「!EXPORT」
・SSLCipherSuiteから以下のものを除外することが目的
- EXP-DES-CBC-SHA
- EXP-RC2-CBC-MD5
- EXP-RC4-MD5
- EXP-EDH-RSA-DES-CBC-SHA
- EXP-EDH-DSS-DES-CBC-SHA
- EXP-ADH-DES-CBC-SHA
- EXP-ADH-RC4-MD5