"サーバは DROWN 攻撃に対して脆弱性があります。サーバ上で SSLv2 プロトコルを無効にします。"
研究者により、SSL v2 での DROWN 脆弱性が確認されています。DROWN とは、「Decrypting RSA with Obsolete and Weakened eNcryption」の頭文字から、「旧式暗号および弱い暗号を利用しているRSA暗号の解読」の意味です。SSL および TLS プロトコルに依拠している HTTPS および他のサービスに影響を及ぼします。
攻撃者は DROWN 脆弱性を利用して、機密データを詮索から保護するのに使用する暗号化を破損します。暗号化が破損されると、攻撃者は、機密通信を読み/盗むことができます (例. パスワード、ファイナンスデータおよびメール)。状況によっては、攻撃者は、信頼できるウェブサイトを装うこともできる場合があります。
SSL 2.0 プロトコルは1996年、セキュリティの欠陥が確認されたため、責任が取れないことが認められているものの、いくつかのサーバでは依然、使用しています。よく知られた脆弱性/セキュリティ上の欠陥:
SSL v2 をまだサポートしているサーバまたはサービス上で SSL 2.0 を無効にします。
OpenSSL についてもっとも簡単な対処方法は、最近リリースされたバージョンの OpenSSL にアップグレードすることです。
古い (現在はサポートされていない) バージョンの OpenSSL の1つをまだ使用している場合は、サポートされている新しいバージョンにアップグレードします。
IIS 7 またはそれ以降を使用している場合、SSL v2 はデフォルトでは、無効になっています。SSL v2 に対するサポートを手動で有効にした場合は、元に戻して無効にします。古い (現在サポートされていない) バージョンの IIS を実行している場合は、IIS バージョン 7 またはそれ以降にアップグレードします。
NSS 3.13 またはそれ以降を使用している場合、SSL v2 はデフォルトでは、無効になっています。SSL v2 に対するサポートを手動で有効にした場合は、元に戻して無効にします。NSS の古いバージョンを使用している場合、NSS 3.13 またはそれ以降にアップグレードします。
お使いのサーバが SSL v2 をサポートしている場合、そのサポートを無効にします。
DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.
©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.
このサイトは Cookie とその他トラッキングテクノロジを利用して、ナビゲーションおよびフィードバック提供機能をサポート、製品とサービスの利用状況を分析、販促およびマーケティングの取り組みを支援、ならびに第三者によるコンテンツ提供を行っています。詳細は、Cookie ポリシー および 個人情報保護方針 をご覧ください。