Sweet32
関連するエラー
「このサーバーにはSWEET32攻撃に対する脆弱性があります。サーバーで弱い暗号(DESおよび3DES)が無効化されていることを確認し、AESを使用してください。」
問題
Sweet32 Birthday攻撃は、トリプルDES暗号に影響を及ぼします。OpenSSLチームはトリプルDES脆弱性を「低」として評価しましたが、「トリプルDESは、RC4と同様に『劣悪』なものとして見なす必要がある」としました。デジサートのセキュリティ専門家およびその他のセキュリティ専門家は、サーバでトリプルDES暗号を無効化することを推奨しています。
DES暗号(およびトリプルDES)には、ブロックサイズが64ビットしかありません。このため、攻撃者はブラウザでJavaScriptを実行し、同じTLS接続で大量のトラフィックを送信できるようになり、コリジョンを発生させます。攻撃者は、このコリジョンを利用してセッションクッキーから情報を取得することができます。
トリプルDES暗号は大多数のHTTPSサーバーと、すべての主要ウェブブラウザ(訪問者数が最も多い約600個のウェブサイト)でサポートされています。幸い、ほとんどのブラウザでは、HTTPS接続を行うときに、トリプルDESではなくAESを使用することが選択されます。
ソリューション
以下のソリューションのいずれかを使用します。
トリプルDES暗号を現在もサポートしているサーバーでトリプルDES暗号を無効化します。
DESまたはRC4よりも強い暗号をサポートしない古いサーバーをアップグレードします。