Edited at

ガラケー対応が必要な Web サーヴィスにおける HTTPS 設定を少しでもまともにする

More than 1 year has passed since last update.

Web サーヴィスでガラケー対応が必要なので、泣きながらセキュリティを弱める。

…予定であったが、諸事情によりその必要はなくなった。

せっかく調べたので、書きかけを晒しておく。編集リクエストも歓迎。

環境は CentOS 6、Apache 2.2。


方針


  • ある程度の端末がサポートされれば良い。

  • SSLv3 は止める

  • アルゴリズムは sha2 に移行する


SSLv3 無効化

キャリア

対応バージョン

docomo
iモードブラウザ2.0以降
SSLv2 SSLv3 TLSv1.0

iモードブラウザ2.0以前 (F-01G 除く)
SSLv2 SSLv3

au

SSLv3 TLSv1.0

softbank

SSLv3 TLSv1.0

SSLv3 で問題になるフィーチャーフォンの対応より引用 (一部訂正)

上の表から、TLSv1.0 以上に対応していないのは、Docomo の iモードブラウザ1.0搭載機種 (但し F-01G 除く) となる。

各機種のブラウザーヴァージョンは、端末スペック一覧 にあるiモード対応機種 対応コンテンツ・機能一覧という PDF で確認できる。

iモードブラウザ1.0搭載端末以外は、全て TLSv1.0 に対応しているが、v1.1 以上には対応していないため、TLSv1.0 以上を有効化するものとする。

SSLProtocol TLSv1 TLSv1.1 TLSv1.2

ひとまず安全とされる (既知の脆弱性がない) プロトコルに限定して有効化することができた。満足である。


sha2 移行

各社から、対応しない機種、端末 OS のアップデートが必要な機種などの情報が、プレスリリースとして出されている。

また、Symantec でも検証結果一覧のPDF が配布されている。


Cipher Suite の設定

SSLCipherSuite EDH+HIGH:HIGH:MEDIUM:+3DES:!LOW:!SSLv3:!SSLv2:!aNULL:!eNULL:!RC4:!ADH:!MD5:!EXP:!PSK:!SRP:!DSS:!KRB5

(Apache 2.2 を使っているので、サポートされない EECDH+HIGH は除外してある。)

※Cipher Suite の読み方については、SSL/TLSの基礎と最新動向の20ページが参考になる。


Docomo でサポートされる Cipher Suite

まとまったリストはない。


au でサポートされる Cipher Suite

EXP-RC4-MD5

RC4-MD5

RC4-SHA

EXP-DES-CBC-SHA

DES-CBC-SHA

DES-CBC3-SHA

EXP1024-DES-CBC-SHA

EXP1024-RC4-SHA

EZwebコンテンツ制作ガイド P43

安全でない Cipher Suite しかサポートされていないので、やむを得ず RC4 を有効にする。


Softbank でサポートされる Cipher Suite

ここらへんを調べる前にガラケーの HTTPS 対応なしという方針が確定した。