SSL 3.0 ぜい弱性への対応メモ

SSL 3.0に深刻な脆弱性が見つかる | スラッシュドット・ジャパン セキュリティ」とのことで、自サーバにおける対策。

・postfix (/etc/postfix/main.cf)

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3

 ・dovecot (/etc/dovecot/conf.d/10-ssl.conf)

ssl_protocols = !SSLv2 !SSLv3

 ・apache2 (/etc/apache2/mods-available/ssl.conf)

SSLProtocol all -SSLv2 -SSLv3

こんな感じで、とりあえず SSLv3 を追加で不許可とした。

それにしても、SSL 3.0 ってこの前まで現役で使っていたような印象があるのだけど。あと、CBC が NG なら、SSLCipherSuite に「-3DES」を追加するのではダメなのかな。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です