「 自宅の DD-WRT Wi-Fi ルーターの SSL, TLS 対応状況を openssl コマンドで確認 」 で書いた通り、久しぶりに DD-WRT をインストールした Wi-Fi ルーターの管理画面に Firefox から https で接続しようとしたところ、「切断が中断されました」と表示されて接続することができなくなっていました。
今回は SSL 3.0 の脆弱性「POODLE」 対策のために Firefox 側で変更となったと思われる設定箇所を確認してみました。
環境
- Ubuntu 14.04 (Trusty Tahr) Desktop 日本語 Remix
- Firefox 34.0
まずは Firefox の URL を入力する箇所に「about:config」と入力します。
「動作保証対象外になります!」と表示されますが、「細心の注意を払って使用する」をクリックして次に進みます。
security.tls.version.min, max の値を確認
上部の検索文字を入力する箇所に「security.tls.version」を入力
検索結果から以下を確認できました。
- security.tls.version.min の値が 1
- security.tls.version.max の値が 3
これらの値の意味は http://kb.mozillazine.org/Security.tls.version.* によると
- 0: SSL 3.0
- 1: TLS 1.0
- 2: TLS 1.1
- 3: TLS 1.2
とのことです。この設定では TLS 1.0, 1.1, 1.2 を使用することはできますが、 SSL 3.0 が使用できない設定になっていました。
security.tls.version.fallback-limit の値を確認
上部の検索文字を入力する箇所に「security.tls.version.fallback-limit」を入力
検索結果からこの設定の値が 1であることを確認できました。
この設定に関する説明を見つけることができませんでしたが設定名から連想すると、最新の TLS 1.2 で接続しようとしてサーバー側が対応していなかった場合に TLS 1.1, 1.0, SSL 3.0 のどこまでフォールバックを許可するかということではないかと思われます。
この値が 1なので TLS 1.0 まではフォールバックが許可されているが、SSL 3.0 へのフォールバックは許可されていないようです。
本来であれば POODLE への対策として、HTTPS サーバー側 (今回の DD-WRT側) で SSL 3.0 を無効にし、TLS 1.0, 1.1, 1.2 のみに対応すべきなのですが、DD-WRT のバージョンが古いので対応できていません。
security.tls.version.min, security.tls.version.fallback-limit の値を 0 にすると DD-WRT Wi-Fi ルーターの https 管理画面に Firefox でアクセスすることができるようにはなりましたが、SSL 3.0 の脆弱性「POODLE」をついて攻撃者に https 通信を傍受されてしまう恐れがあるためお勧めしません。DD-WRT Wi-Fi ルーター側を TLS に対応させるのが良いです。
0 件のコメント:
コメントを投稿