アルファSSLからのニュースや重要なお知らせをしています。
TLS通信の脆弱性「Logjam」に関しまして 2015.5.26
TLS通信の脆弱性「Logjam」に関してご案内いたします。
5月20日、フランス国立情報学自動制御研究所とマイクロソフト研究所等の複数の研究機関や大学の研究者により、 『The Logjam Attack』が公表されました。こちらは今年の3月に公表されたFREAKと同様に米国政府による暗号規制に由来します。 ディフィー・ヘルマン鍵共有を用いたTLS通信に対して、中間者攻撃、暗号のダウングレード攻撃により、通信の解読、改ざんの危険性が高まります。 今回の件を受け、ブラウザベンダーは攻撃の可能性のある暗号通信のサポートを拒否する動きを見せています。
※ご利用のサーバ証明書に影響はございません。証明書の再発行や失効、再設定等の対応は不要です。
【確認方法】
「The Logjam Attack」へアクセスのうえご確認ください。影響の受けたブラウザは、コンテンツ内の上段にて赤く表示されます。
【現時点で確認の取れている影響対象と解決方法】
今回の件を受け、発行済みの証明書の再発行や失効は必要ありません。
サーバー管理者やブラウザの利用者は適宜、ベンダーが提供するパッチを充ててください。
影響のあるサーバー:DHE_EXPORTをサポートしているサーバー
【その他】
尚、Windows8、Internet Explorer10を用いて「The Logjam Attack」サイトに接続すると、Logjamアタックに対して安全であると表示されました。
また、Firefox38.0.1、Chrome 43.0.2357.65 mでは警告が表示されました。ベンダーのフォーラムやニュースサイト等によりますと、近日中に対応する予定との事です。