あー、またっすか・・・
今回のやつはFreakと似ていて、ブラウザからサーバーに接続するときに第3者が暗号のグレードを下げれるという問題のようです。
http://www.itmedia.co.jp/enterprise/articles/1505/21/news055.html
修正の対象は
- ブラウザ・・・暗号のグレードが変更されない修正する、またはDHE_EXPORT無効かな?
- サーバー・・・DHE_EXPORTを無効化する
となるようです。
ブラウザの方はそのうち修正バージョンが出ると思いますが、 サーバーのほうは検証して設定変更しないといけません。
検証コードは
openssl s_client -connect {domain}:443 -cipher EXP -tls1
で接続できれば基本的にアウトかと思います。
サーバーがサポートしているciphersの表示は以下で見ることが可能です。
nmap --script ssl-enum-ciphers -p 443 {domain}
EXPORTがいる場合それが使えると思います。
nmapのバージョンを6以降にすると暗号が強いか弱いか表示してくれるので、最新版を入れると良さげです。
Macの場合はbrewでインストールできます。
brew install nmap
なおnmapで出てくるcipherとOpenSSLで出てくるcipherは一致しませんのでご注意ください。
opensslで使用可能なcipherの表示は
openssl ciphers
で表示されます、EXPORTグレードで絞りたい場合は
openssl ciphers EXP
で表示されます。
修正方法は
https://weakdh.org/sysadmin.html
こちらに出ているようですが、まだ未確認です。
