"このサーバーは、DROWN 攻撃への脆弱性があります。サーバー上で SSLv2 プロトコルを無効にします。"
研究者により、SSL v2 での DROWN 脆弱性が確認されています。DROWN とは、「Decrypting RSA with Obsolete and Weakened eNcryption」の頭文字から、「旧式暗号および弱い暗号を利用しているRSA暗号の解読」の意味です。SSL および TLS プロトコルに依拠している HTTPS および他のサービスに影響を及ぼします。
攻撃者は DROWN 脆弱性を利用して、機密データを詮索から保護するのに使用する暗号化を破損します。暗号化が破損されると、攻撃者は、機密通信を読み/盗むことができます (例. パスワード、財務データおよびメール)。状況によっては、攻撃者は、信頼できるウェブサイトを装うこともできる場合があります。
SSL 2.0 プロトコルは1996年、セキュリティの欠陥が確認されたため、責任が取れないことが認められているものの、いくつかのサーバーでは依然、使用しています。よく知られた脆弱性/セキュリティ上の欠陥:
SSL v2 をまだサポートしているサーバーまたはサービス上で SSL 2.0 を無効にします。
OpenSSL についてもっとも簡単な対処方法は、最近リリースされたバージョンの OpenSSL にアップグレードすることです。
古い (現在はサポートされていない) バージョンの OpenSSL の1つをまだ使用している場合は、サポートされている新しいバージョンにアップグレードします。
IIS 7 またはそれ以降を使用している場合、SSL v2 はデフォルトでは、無効になっています。SSL v2 に対するサポートを手動で有効にした場合は、元に戻して無効にします。古い (現在サポートされていない) バージョンの IIS を実行している場合は、IIS バージョン 7 またはそれ以降にアップグレードします。
NSS 3.13 またはそれ以降を使用している場合、SSL v2 はデフォルトでは、無効になっています。SSL v2 に対するサポートを手動で有効にした場合は、元に戻して無効にします。NSS の古いバージョンを使用している場合、NSS 3.13 またはそれ以降にアップグレードします。
お使いのサーバーが SSL v2 をサポートしている場合、そのサポートを無効にします。
DigiCert は high—保証デジタル証明書を提供する信頼できる SSL、プライベートおよびマネージド PKI 展開、新興 IoT 市場向けのデバイス証明書の世界をリードするプロバイダーです。約15年前の創業以来、よりよい方法を模索するという考えが原動力となっています。インターネット上で認証を提供するよりよい方法、お客様のニーズにあわせた解決方法を個別に提供するよりよい方法です。現在は、業界を先行してリードする、ID とデジタルインタラクションでよりよい信頼を構築するためのよりよい方法を模索するイノベーションという従来の取り組みに Symantec の実績と能力が加わっています。
©2019 DigiCert, Inc. All rights reserved. DigiCert およびそのログは DigiCert, Inc. の登録商標です。Symantec と Norton およびそのロゴは、Symantec Corporation のライセンスにより使用する商標です。他の名称は、各所有者の商標です。
このサイトは Cookie とその他トラッキングテクノロジを利用して、ナビゲーションおよびフィードバック提供機能をサポート、製品とサービスの利用状況を分析、販促およびマーケティングの取り組みを支援、ならびに第三者によるコンテンツ提供を行っています。詳細は、Cookie ポリシー および 個人情報保護方針 をご覧ください。