先日お伝えしましたSSLバージョン3(以下,SSLv3)の脆弱性への対処といたしまして,学認で提供しております各サービスにてSSLv3を無効化いたしましたのでお知らせいたします。
対象サービス :
- 学認Webサイト
- 運用フェデレーション Discovery Service
- メタデータリポジトリ
- Japan Identity & Cloud Summit Webサイト
- 運用フェデレーション属性確認SP
- 学認申請システム
- テストフェデレーション全体
SSLv3を無効化したことにより,サービスが利用ができない,クライアント側で対処を行う必要があった等,何らかの影響を受けられた場合は学認事務局まで情報提供いただければ幸いです。
関連して,Shibboleth IdP・SPのクライアントとしての振る舞いに関することと,SSLv3が無効となっていることを確認するための方法についてお知らせいたします。
- Shibboleth IdP・SPのクライアントとしての振る舞いについて
Shibboleth IdP・SPでメタデータを取得するときや属性送出のためにLDAPサーバ等へのアクセスするときには,IdP・SPはクライアントとしてサーバに接続します。
このとき,クライアント側でSSLv3を無効にしてサーバへ接続する方法は現段階では示されていません。もし,Shibboleth IdP・SPのクライアントとしてサーバへ接続するときにSSLv3を無効化する方法等がございましたら情報提供いただければ幸いです。
- SSLv3が無効になっていることを確認する方法
先日ご連絡いたしました「SSLバージョン3の脆弱性について (CVE-2014-3566)」等の方法で,サーバ側でSSLv3無効化を行われた管理者様向けにSSLv3が無効となっていることを確認するための方法を記載します。
各マシンにログイン後,opensslコマンドを実行して確認します。
コマンド実行後に「sslv3 alert handshake failure」や「wrong version number」などのメッセージとともにセッションが切断されていれば問題ありません。・HTTPS(443番ポート)の確認
$ openssl s_client -connect localhost:443 -ssl3・IdP Back-Channel(8443番ポート)の確認
$ openssl s_client -connect localhost:8443 -ssl3他にSSL/TLSでサービスを行っているポートがあれば,ポート番号を変更して確認してください。
マシンに直接ログインできない場合は localhost の部分に対象のホスト名を入れて確認することも可能です。
その際はコマンドを実行するコンピュータから当該マシンへのネットワーク経路中のファイアウォール等で遮断されていないことを事前にご確認ください。
参考情報 :
・SSLバージョン3の脆弱性について (CVE-2014-3566)
http://www.gakunin.jp/news/20141017
※ NII が提供している学認対応 SP への影響については,
別途以下の URL にてお知らせしていますので,こちらを参照ください。
https://meatwiki.nii.ac.jp/confluence/display/NIIninsho/Outage
本件に関する連絡先
===============================================
国立情報学研究所 学認事務局
TEL:03-4212-2218
===============================================
