[upki-fed:00870] SSLバージョン3の脆弱性に対する学�認の対応

[国立情報学研究所 学認事務局 野田 <xxxxxxxxxxxxxx@xxxxxxxxx>]

各位

　国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。


先日お伝えしましたSSLバージョン3（以下，SSLv3）の脆弱性への対処といたし
まして，学認で提供しております各サービスにてSSLv3を無効化いたしましたの
でお知らせいたします。

　◆対象サービス

 　　- 学認Webサイト
 　　- 運用フェデレーションDiscovery Service
 　　- メタデータリポジトリ
 　　- Japan Identity & Cloud Summit Webサイト
 　　- 運用フェデレーション属性確認SP
 　　- 学認申請システム
 　　- テストフェデレーション全体


SSLv3を無効化したことにより，サービスが利用ができない，クライアント側で
対処を行う必要があった等，何らかの影響を受けられた場合は学認事務局まで
情報提供いただければ幸いです。


関連して，Shibboleth IdP・SPのクライアントとしての振る舞いに関すること
と，SSLv3が無効となっていることを確認するための方法についてお知らせいた
します。

○Shibboleth IdP・SPのクライアントとしての振る舞いについて

  Shibboleth IdP・SPでメタデータを取得するときや属性送出のためにLDAPサー
  バ等へのアクセスするときには，IdP・SPはクライアントとしてサーバに接続
  します。このとき，クライアント側でSSLv3を無効にしてサーバへ接続する方
  法は現段階では示されていません。

  もし，Shibboleth IdP・SPのクライアントとしてサーバへ接続するときに
  SSLv3を無効化する方法等がございましたら情報提供いただければ幸いです。


○SSLv3が無効になっていることを確認する方法

  先日ご連絡いたしました「SSLバージョン3の脆弱性について
  (CVE-2014-3566)」等の方法で，サーバ側でSSLv3無効化を行われた管理者様
  向けにSSLv3が無効となっていることを確認するための方法を記載します。

  各マシンにログイン後，opensslコマンドを実行して確認します。コマンド実
  行後に「sslv3 alert handshake failure」や「wrong version number」など
  のメッセージとともにセッションが切断されていれば問題ありません。

 　 ・HTTPS（443番ポート）の確認
   　 $ openssl s_client -connect localhost:443 -ssl3

  　・IdP Back-Channel（8443番ポート）の確認
   　 $ openssl s_client -connect localhost:8443 -ssl3

  他にSSL/TLSでサービスを行っているポートがあれば，ポート番号を変更して
  確認してください。

  マシンに直接ログインできない場合は localhost の部分に対象のホスト名を
  入れて確認することも可能です。その際はコマンドを実行するコンピュータ
  から当該マシンへのネットワーク経路中のファイアウォール等で遮断されて
  いないことを事前にご確認ください。


参考情報：

・SSLバージョン3の脆弱性について (CVE-2014-3566)
  https://www.gakunin.jp/jolon77xf-427/#_427


※  NII が提供している学認対応 SP への影響については，
　　別途以下の URL にてお知らせしていますので，こちらを参照ください。
　　https://meatwiki.nii.ac.jp/confluence/display/NIIninsho/Outage


-- 
=========================================================
　国立情報学研究所 学術基盤課 学認事務局　（担当：野田）
　TEL：03-4212-2218　��������潜�����　学認Webページ  https://www.gakunin.jp/
　申請システム   https://office.gakunin.nii.ac.jp/
=========================================================