とにかくSSLの更新は必要なので、設定が最近の基準に沿っているかについても確認しようではないか。
Heartbleedについてたくさんの大騒ぎがあったから、管理者ならすでに何をすべきか知っているだろう。
1. 脆弱なバージョンのOpenSSLを使っているものをすべて特定する
2. 最新バージョンのOpenSSLに更新する
3. 古いプライベートキーとSSL証明書は漏えいした可能性があるので、新しいものを作成する
4. 古い証明書を失効にする
だがサーバの設定を触って、新しいSSL証明書を作成しなければならないのなら、証明書生成の設定やサーバの設定にも手を伸ばすことをお勧めする。HeartbleedはSSL/TLSの実装における問題だけではない。プロトコルを下手に選択したり、暗号方式が弱いと、Heartbleedのバグと同等に危険になり得る。
OWASP Transport Layer Protection Cheat Sheet(Open Web Application Security Projectによるトランスポート層保護についてのチートシート)を一読することを推奨する。
そしてボーナスポイントのチャンス!
5. PFS(Perfect Forward Secrecy)を実装する。これは件のOWASPのチートシートの「Prefer Ephemeral Key Exchanges」というルールのところに記載がある。
詳細については、EFEの「Why the Web Needs Perfect Forward Secrecy More Than Ever(なぜかつてないほどWebにPFSが必要なのか)」というポストを参照してほしい。
追記:
もう1つ追加する。
6. トランスポート層のセキュリティのみに依存してはならない。もしデータがクリティカルであるなら、実装において追加的な保護を用いる。
一例を挙げるならYounitedだ。「How do I turn on advanced login authentication?(高度なログイン認証を有効にする方法は?)」というサポートの質問を参照してほしい。
2要素認証だ。提供してほしい。お願いだ。
更新:
プライベートキーの変更が当然必要なことや、古い証明書を失効にすることを明確にする記述を追加した。ありがとう。@oherrala.
