오타쿠 서비스와 https 통신, 괜찮아? 라고 들었을 때의 대답
TL;DR
제목의 만마입니다.
Symantec에서 제공하는 SSL Certification Checker 또는 The Qualys SSL Labs의 SSL Server Test 을 사용하여 도메인의 https 통신 상태를 확인하면 Protocol : TLS1.0이 활성화 된 경우가 거의 없을 것입니다.
그 경우, BEAST 취약성을 찔릴 가능성이 있다-와 함께 지적됩니다만, 「공격의 실현 가능성이 낮기 때문에 문제 없다」라고 하는 것을, 주위의 관계자에게 은근하게 설명하게 된다 합니다.
왜 문제가 없는지를 잘 잊어 버려, 다시 조사하는 것도 효율이 나쁘기 때문에 현상 확인 방법도 포함해 메모.
이 게시물에는
BEAST 취약성이란 무엇인가?
등은 포함되지 않습니다.
상세를 확인하고 싶은 분은,
"우리는 어떻게 안전한 HTTPS 통신을 제공해야합니까?" 기사 중 BEAST에 대한 설명
당 해설 기사에서 파고 주시면.
현재 상태 확인
Symantec 씨가 SSL Certification Checker를 제공해주고 있다.
htps : // cryp 토레포 rt.ぇb 세쿠리 ty. sy 만나 c. 코 m / 치 c r /
대상 도메인을 입력하고 check 버튼을 누르면 대상 도메인에 설정되어 있는 SSL 인증서의 상태를 보고합니다.
예를 들면 www.amazon.co.jp.
최소한으로 보는 포인트
취약한 Protocol과 Cipher suite의 조합이 활성화되어 있지 않습니까?
2017/11/1 시점에서는, 이하가 만족되고 있으면 일단 OK
Vulnerabilities checked 열에 찔릴 수 있는 취약점이 없는가? (가능한 것은 색깔이 있습니다)
TLS1.0이 유효한 경우, "BEAST 취약성을 찔릴 가능성이 있어-"라고 지적되어 버립니다.
"BEAST 취약성이란"에 대해서는 필요에 따라 TL; DR에 있는 링크처를 봐 주시면
"취약성을 찌르는 것은 어려우므로 현재 문제 없어요"라고 매번 설명합니다.
"BEAST 취약성을 찌르는 것은 어려우므로 TLS1.0이 유효해도 현상 문제 없어"라는 설명
이런 느낌.
TLS1.0にはBEAST脆弱性が存在しますが、
・脆弱性を突く攻撃を行うための前提条件を満たすことが困難
- CBCモードが有効
- かつ、脆弱性を持つJavaアプレット実行環境があるブラウザ(現行バージョンでは修正済み)
を満たした場合に攻撃が可能だった。
現在は
- CBCモードが有効
な場合でもブラウザ側で
- 1/n-1 record splittingがデフォルトで有効となる
などの対策が取られているため、上記Javaアプレットの脆弱性の代わりになる脆弱性が発見されても問題ないと考えている。
의문 · 잘 모르는 곳
Truncated HMAC (RFC6066) 이야기
CRYPTREC 암호화 기술 가이드 라인 (SSL / TLS의 최근 공격에 대응)
p77 그림 3 ~ p78 3 행째,
TLS1.0にはBEAST脆弱性が存在しますが、
・脆弱性を突く攻撃を行うための前提条件を満たすことが困難
- CBCモードが有効
- かつ、脆弱性を持つJavaアプレット実行環境があるブラウザ(現行バージョンでは修正済み)
を満たした場合に攻撃が可能だった。
現在は
- CBCモードが有効
な場合でもブラウザ側で
- 1/n-1 record splittingがデフォルトで有効となる
などの対策が取られているため、上記Javaアプレットの脆弱性の代わりになる脆弱性が発見されても問題ないと考えている。
Truncated HMAC (RFC6066) 이야기
CRYPTREC 암호화 기술 가이드 라인 (SSL / TLS의 최근 공격에 대응)
p77 그림 3 ~ p78 3 행째,
하지만, RFC를 익숙하지 않은 자신에게는, RFC6066로 정의되고 있는 통상의 HMAC를 80바이트로 절약한 HMAC를 사용하고 있는 제품, 케이스가 지금도 있는지 확인할 수 없었습니다. 아시는 분이 계시면 가르쳐 주시면 도움이됩니다 mm
TLS1.2에서 Truncated HMAC 사용 시 취약점 이해
CBC 모드시의 TLS1.2에도 영향이 있다고 하는 것이므로, 지금은 Patch가 들어가 있거나, 비추천이 되고 있을 것 같습니다만.
참고
SSL/TLS 1.0은 언제까지 무효화해야 하는가? : PCI-SSC는 2018/6/30까지 TLS1.0을 무효화하도록 보도 자료를 발표했습니다.
SSL과 TLS의 차이와 취약점 문제
웹 브라우저에서 TLS / SSL 대응 상황의 변화
CRYPTREC 암호화 기술 가이드 라인 (SSL / TLS의 최근 공격에 대응)
우리는 어떻게 안전한 HTTPS 통신을 제공해야합니까?
https 그래서 그냥 안전? 조사하면 무서워져 온 SSL의 이야기!?
Reference
이 문제에 관하여(오타쿠 서비스와 https 통신, 괜찮아? 라고 들었을 때의 대답), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/nntsugu/items/af4645df09fb4b2875e0텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)