Web サーヴィスでガラケー対応が必要なので、泣きながらセキュリティを弱める。
…予定であったが、諸事情によりその必要はなくなった。
せっかく調べたので、書きかけを晒しておく。編集リクエストも歓迎。
環境は CentOS 6、Apache 2.2。
方針
- ある程度の端末がサポートされれば良い。
- SSLv3 は止める
- アルゴリズムは sha2 に移行する
SSLv3 無効化
キャリア | 対応バージョン | |
---|---|---|
docomo | iモードブラウザ2.0以降 | SSLv2 SSLv3 TLSv1.0 |
iモードブラウザ2.0以前 (F-01G 除く) | SSLv2 SSLv3 | |
au | SSLv3 TLSv1.0 | |
softbank | SSLv3 TLSv1.0 |
SSLv3 で問題になるフィーチャーフォンの対応より引用 (一部訂正)
上の表から、TLSv1.0 以上に対応していないのは、Docomo の iモードブラウザ1.0搭載機種 (但し F-01G 除く) となる。
各機種のブラウザーヴァージョンは、端末スペック一覧 にあるiモード対応機種 対応コンテンツ・機能一覧という PDF で確認できる。
iモードブラウザ1.0搭載端末以外は、全て TLSv1.0 に対応しているが、v1.1 以上には対応していないため、TLSv1.0 以上を有効化するものとする。
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
ひとまず安全とされる (既知の脆弱性がない) プロトコルに限定して有効化することができた。満足である。
sha2 移行
各社から、対応しない機種、端末 OS のアップデートが必要な機種などの情報が、プレスリリースとして出されている。
また、Symantec でも検証結果一覧のPDF が配布されている。
Cipher Suite の設定
- Cipher Suite は、まずは Apache で OpenSSL のセキュリティを強化するを参考に設定する
SSLCipherSuite EDH+HIGH:HIGH:MEDIUM:+3DES:!LOW:!SSLv3:!SSLv2:!aNULL:!eNULL:!RC4:!ADH:!MD5:!EXP:!PSK:!SRP:!DSS:!KRB5
(Apache 2.2 を使っているので、サポートされない EECDH+HIGH は除外してある。)
※Cipher Suite の読み方については、SSL/TLSの基礎と最新動向の20ページが参考になる。
Docomo でサポートされる Cipher Suite
まとまったリストはない。
au でサポートされる Cipher Suite
EXP-RC4-MD5
RC4-MD5
RC4-SHA
EXP-DES-CBC-SHA
DES-CBC-SHA
DES-CBC3-SHA
EXP1024-DES-CBC-SHA
EXP1024-RC4-SHA
EZwebコンテンツ制作ガイド P43
安全でない Cipher Suite しかサポートされていないので、やむを得ず RC4 を有効にする。
Softbank でサポートされる Cipher Suite
ここらへんを調べる前にガラケーの HTTPS 対応なしという方針が確定した。