メモ > サーバ > 各論: エトセトラ > Apache+SSLでRC4暗号化を外す
■Apache+SSLでRC4暗号化を外す
サーバのセキュリティチェックなどで、SSLの設定で「SSLCipherSuite」に「RC4」が使用されている
…と指摘されたときの対応方法について
以下、指摘内容
SSL/TLS が弱い RC4 暗号を使用:
RC4 は、出力に一定のバイアスがあるため、暗号文を統計的に解析できる現実性が高いことが発見されています。
想定される攻撃としては、ブラウザに悪質な JavaScript をインジェクトするものがひとつの例として考えられます。
これにより、ターゲットの Web サイトとの間に複数の接続が確立され、
同じ HTTP Cookie が暗号化された形で複数回 Web サイトに送信されるようになります。
そこから、攻撃者は大量の暗号文サンプルを入手でき、それを統計的な解析に利用できるようになります。
具体的な対内容は以下のとおり
confファイルで
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
を以下のように変更して、Apacheを再起動する(CentOS6の場合)
SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:!RC4:!3DES:!RSA
上記設定は、以下などのファイルに書かれていることが多い
/etc/httpd/conf.d/ssl.conf
/etc/httpd/conf.d/virtualhost.conf
設定内容の意味やCentOS7での設定方法は、以下のページに詳しく書かれている
CentOS6.9/CentOS7.4でWebサーバのSSLのセキュリティ対策 - Qiita
https://qiita.com/qiitamatumoto/items/f93286fc82ec9a0cdff7