2015年いっぱいでOpenSSL0.9.8のアップデートが無くなる?


CentOS5をまだ使っているリスク~OpenSSLのサポート期限

CentOS5で普通にyumでOpenSSLをインストールしてWebサーバと使っているものがあるのですが、ちょっと気になるニュースがありました。

クレジットカード処理におけるTLS 1.0の使用が非推奨に

PCI SSC(クレジットカードのセキュリティ標準を定める団体)発表
http://pcireadycloud.com/blog/2015/06/02/283/
http://security.srad.jp/story/15/06/01/0555202/
※クレジットカード系のシステムはTLS1.0は2016/6/30で使用禁止のようです
→2015/12/18付けで非推奨期限が2016/6/30→2018/6/30に延期されたようです。
(苦情が多くて折れたという噂)
https://www.pcisecuritystandards.org/pdfs/15_12_18_SSL_Webinar_Press_Release_FINAL.pdf

それに伴い、予定していた仕様変更を撤回する決済業者も出てくるかもしれません。。。

SSLのプロトコルの設定は厳しくすればするほどいいのか?

そんなことはない

http://www.ipa.go.jp/files/000045645.pdf
のp19~プロトコルバージョンの設定参照

  • 高セキュリティ型
  • 推奨セキュリティ型
  • セキュリティ例外型

とあるように、SSL導入しているものの中でも、どのレベルの要求があるのか検討した上で対応したい

まとめ

  • CentOSのOpenSSLは2015-12-31を過ぎても脆弱性修正はしてくれる
  • CentOS5のサポート期限(2017-03-31)を迎えるので早い目にOSを新しくしておいた方が無難でしょう
  • クレジット決済システムなど、高セキュリティ要求のある場合は注意が必要

参考: 対策としてCentOS6以上に載せ替えの場合

Version OpenSSL Apache 注意点
CentOS 5.X 0.9.8e 2.2.3 OpenSSL0.9.8(TLS, SHA1)が2016/12/31終了、SNIが使えない、TLS1.1以上が使えない
CentOS 6.X 1.0.1e 2.2.15
CentOS 7.X 1.0.1e 2.4.6 Apache2.4系から設定ががらっと変わる