SSLv3 POODLE 攻撃

ちょっと前ですけど，SSLv3 の脆弱性 (POODLE 攻撃) に対処するため，WEB サーバの設定を変更した際のメモ

apache の conf/extra/httpd-ssl.conf で  SSLCipherSuite を

SSLCipherSuite HIGH:MIDIUM:!EXP:!ADH:!LOW:!SSLv2:!SSLv3:!MD5:!IDEA:!ECDHE-RSA-RC4-SHA:!aNULL

の様に書き換えたら，OpenSSL も最新にしてサービスを再起動。

上の例だと，いくつか非推奨アルゴリズムを明示的に指定していますが，そもそも無効になっていて意味ない設定があるかも．．．．まぁ転ばぬ先のなんとやらってことで。

これで，TLS のみの接続になるので，

$ echo x | /openssl s_client -connect localhost:443 -ssl3

を実行して，接続エラーになれば万事 OK。