CentOS5をまだ使っているリスク~OpenSSLのサポート期限
CentOS5で普通にyumでOpenSSLをインストールしてWebサーバと使っているものがあるのですが、ちょっと気になるニュースがありました。
- CentOS5の提供しているOpenSSLは0.9.8系ですが、OpenSSL 0.9.8のメンテナンスは2015いっぱいとなります。
https://www.openssl.org/blog/blog/2014/12/23/the-new-release-strategy/ - CentOSのサイトでも話題になっていて、Redhat/CentOS系は重大な脆弱性はbackport修正はするようです
https://www.centos.org/forums/viewtopic.php?f=24&t=51408
クレジットカード処理におけるTLS 1.0の使用が非推奨に
PCI SSC(クレジットカードのセキュリティ標準を定める団体)発表
http://pcireadycloud.com/blog/2015/06/02/283/
http://security.srad.jp/story/15/06/01/0555202/
※クレジットカード系のシステムはTLS1.0は2016/6/30で使用禁止のようです
→2015/12/18付けで非推奨期限が2016/6/30→2018/6/30に延期されたようです。
(苦情が多くて折れたという噂)
https://www.pcisecuritystandards.org/pdfs/15_12_18_SSL_Webinar_Press_Release_FINAL.pdf
それに伴い、予定していた仕様変更を撤回する決済業者も出てくるかもしれません。。。
SSLのプロトコルの設定は厳しくすればするほどいいのか?
そんなことはない
http://www.ipa.go.jp/files/000045645.pdf
のp19~プロトコルバージョンの設定参照
- 高セキュリティ型
- 推奨セキュリティ型
- セキュリティ例外型
とあるように、SSL導入しているものの中でも、どのレベルの要求があるのか検討した上で対応したい
まとめ
- CentOSのOpenSSLは2015-12-31を過ぎても脆弱性修正はしてくれる
- CentOS5のサポート期限(2017-03-31)を迎えるので早い目にOSを新しくしておいた方が無難でしょう
- クレジット決済システムなど、高セキュリティ要求のある場合は注意が必要
参考: 対策としてCentOS6以上に載せ替えの場合
| Version | OpenSSL | Apache | 注意点 |
|---|---|---|---|
| CentOS 5.X | 0.9.8e | 2.2.3 | OpenSSL0.9.8(TLS, SHA1)が2016/12/31終了、SNIが使えない、TLS1.1以上が使えない |
| CentOS 6.X | 1.0.1e | 2.2.15 | |
| CentOS 7.X | 1.0.1e | 2.4.6 | Apache2.4系から設定ががらっと変わる |