やりたいこと
クライアントPCからIBM Cloud Object Storage(以下ICOS)への接続に使われている暗号スイートを確認してみます。
背景
IBM Cloudで、1月にICOSへの接続に使われる暗号方式のうち以下の暗号方式を削除するという通知がありました。
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
そこで、クライアントが以下のGCM暗号でICOSに接続できることを確認する必要があります。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
記事執筆時点(2025/2/14)ではまだCBC暗号が使用可能になっているように見られました。まだCBC暗号を使って接続している可能性がないかご確認いただくことをお勧めします。
ICOSへの通信に使える暗号スイートの一覧を調べる
nmapコマンドで、ICOSの東京リージョンのエンドポイントに接続する際に利用できる暗号スイートを確認します。
Nmap(Network Mapper)とはオープンソースのネットワーク調査ツールのソフトウェアです。ポートスキャン機能やバージョンの検出機能、サービスおよびそのバージョンの検出機能など、多くの機能を兼ね備えています。
(ICOS エンドポイント情報:https://cloud.ibm.com/docs/cloud-object-storage?topic=cloud-object-storage-endpoints)
nmap --script ssl-enum-ciphers -p 443 s3.jp-tok.cloud-object-storage.appdomain.cloud
以下、実行結果です。
6つの暗号スイートを利用できることがわかります。
クライアントPCから通信する際に使える暗号スイートの一覧
続いて、クライアントPCからの通信について確認します。
クライアントPCにインストールされている、暗号ライブラリのOpenSSLで使用可能な暗号スイートの一覧を以下のコマンドで調べます。
openssl ciphers -v
以下、実行結果です。
私のPCが使用できる暗号スイートの一覧が出てきました。
クライアントPCから通信しているICOSに対してどの暗号スイートが使われているのか、優先順位を確認
https://www.ssllabs.com/ssltest/index.html
こちらは、SSLで通信しているWebサーバーの分析ができるツールです。
調べたい通信先のホスト名を入れて分析を開始します。
2,3分くらいで分析が完了しました。
"Configuration"のうち"Cipher Suite"の欄にスクロールします。
"suites in server-preferred order"とあるように、私のPCからICOSへの通信に使われる暗号スイートが、優先順位の高い順に表示されます。
