locked
Session Ticket脆弱性 (Ticketbleed) の対処について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Server 及び IIS を使用して、学習目的で Webサーバ等の構築をしています。

    現在、ドメインを取りLet's Encryptを利用してHTTPS化も実施しておりますが、先日SSL Labsにて暗号化のチェックを行ったところ、結果はA+の判定でしたが、Session Tickets の脆弱性があると診断されてしまいました。

    調べたところ、SSLの通信の高速化に関する機能の実装上の脆弱性であることなどは朧気ながら理解できました。

    https://filippo.io/Ticketbleed/

    しかしながら、具体的にその問題に対して Windows Server 及び IIS 環境下ではどのように対処すれば良いか(Session Tickets の無効化、または脆弱性の除去等)という情報まで見つけることができず、当方の環境では依然として対処できずにいます。

    脆弱性があるということ、また、SSL Labsでも "5月1日以降この脆弱性が残っている場合、WebサイトのランクをFにする" としており、非常に不安です。

    もし対処法や、代替手段などご存知の方がいらっしゃいましたら、ご教示いただければ幸いです。

    2017年4月19日 11:17

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、ご所望の答えのほうですが、以下のページの「SSL Session Cache」が該当すると思います(質問者はご丁寧にSSL Labsに言われたから何とかしたいといっていますね)

    https://forums.iis.net/t/1228519.aspx?Disable+SSL+session+cache

    ですが、この機能は「未知の脆弱性として無条件にふさぐべし」という類のものではないようで、実際脆弱性が発生するケースを想定しながら、適切な実装(暗号解読に必要な複数の鍵が攻撃者に同時に渡らないようにする)で、対応するべきものと思われます。詳しいことは、したのページに大変よくまとまっているので、読まれるといいように思います。

    https://techblog.yahoo.co.jp/infrastructure/ssl-session-resumption/

    ご照会いただいたF5の資料にもありますが、無条件にとめるものではなく、とめた場合のパフォーマンスの低下は十分考慮してねと書いてあります。SSL Labsの権威?がどういうものなのか私は存じないのですが、金科玉条に従わなくてもよいように、個人的には思います。私はセキュリティ専門家ではないので、ここは間違っているかもしれませんが。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年4月25日 1:28

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    環境について書き忘れていました、以下の通りです。

    • OS: Windows Server 2012 R2 Standard
    • Web: Internet Information Service 8.5

    よろしくお願いします。

    2017年4月19日 11:58
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、ご所望の答えのほうですが、以下のページの「SSL Session Cache」が該当すると思います(質問者はご丁寧にSSL Labsに言われたから何とかしたいといっていますね)

    https://forums.iis.net/t/1228519.aspx?Disable+SSL+session+cache

    ですが、この機能は「未知の脆弱性として無条件にふさぐべし」という類のものではないようで、実際脆弱性が発生するケースを想定しながら、適切な実装(暗号解読に必要な複数の鍵が攻撃者に同時に渡らないようにする)で、対応するべきものと思われます。詳しいことは、したのページに大変よくまとまっているので、読まれるといいように思います。

    https://techblog.yahoo.co.jp/infrastructure/ssl-session-resumption/

    ご照会いただいたF5の資料にもありますが、無条件にとめるものではなく、とめた場合のパフォーマンスの低下は十分考慮してねと書いてあります。SSL Labsの権威?がどういうものなのか私は存じないのですが、金科玉条に従わなくてもよいように、個人的には思います。私はセキュリティ専門家ではないので、ここは間違っているかもしれませんが。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年4月25日 1:28