Heartbleedにご注意を
OpenSSLの「Heartbleed」脆弱性が発表されてから,IT系のニュースサイトには連日注意喚起の記事が出ています。Webサイトを運営している人はもちろんの事,Webシステムを利用している人についても影響がありますので,ニュースをチェックしておいた方がいいです。@ITの記事をリンクしておきます。
対策は簡単に言うと次の通りです。
○ Webサイト運営者
OpenSSLを1.0.1gにアップグレードして,SSL証明書を失効します。そして,新しいSSL証明書を発行してもらって,失効したSSL証明書と入れ替えます。SymantecやGlobalSignなどの証明書発行ベンダは,再発行申請がいっぱい来て,ちょっとした特需状態になっているのかもしれません。
○ Webサイト利用者
パスワードの変更を行います。サイトの運営者側からパスワードの変更依頼が来る事でしょう。パスワードは定期的に変更する必要がありますが,1ヶ月後に変更する予定だから良いや。って風にしないで,パスワードの変更をしておきましょう。
それにしても,OpenSSLを使っているサイトの多さが気になりました。Apacheを使っているサイトは,暗号処理をやろうとすると,どうしてもOpenSSLになってしまうからなのでしょうね。シェアの高いソフトウェアに問題が発生すると,影響範囲がもの凄く大きくなるのを改めて感じました。
------
Trusted Design
対策は簡単に言うと次の通りです。
○ Webサイト運営者
OpenSSLを1.0.1gにアップグレードして,SSL証明書を失効します。そして,新しいSSL証明書を発行してもらって,失効したSSL証明書と入れ替えます。SymantecやGlobalSignなどの証明書発行ベンダは,再発行申請がいっぱい来て,ちょっとした特需状態になっているのかもしれません。
○ Webサイト利用者
パスワードの変更を行います。サイトの運営者側からパスワードの変更依頼が来る事でしょう。パスワードは定期的に変更する必要がありますが,1ヶ月後に変更する予定だから良いや。って風にしないで,パスワードの変更をしておきましょう。
それにしても,OpenSSLを使っているサイトの多さが気になりました。Apacheを使っているサイトは,暗号処理をやろうとすると,どうしてもOpenSSLになってしまうからなのでしょうね。シェアの高いソフトウェアに問題が発生すると,影響範囲がもの凄く大きくなるのを改めて感じました。
------
Trusted Design
 【送料無料】 OpenSSL 暗号・PKI・SSL / TLSライブラリの詳細 / ジョン・ヴィエガ 【単行本】 |
 Implementing SSL / TLS Using Cryptography and PKI-【電子書籍】 |
この記事へのコメント