最近ssl系の脆弱性発見多いですね。ということでFREAK Attackです。 サーバー側の対応としては、輸出グレード暗号化のサポートをしないように設定することが必要のようです。
Qualys SSL Labsサイトで確認するのも良いでしょう。 もっと簡単に、素早く確認したい場合は下記のコマンドでも確認できるようです。
$ openssl s_client -connect <サーバー>:443 -cipher EXPORT
参考:Akamai Addresses CVE 2015-0204 Vulnerability
ローカルのapache設定を変更してどういう結果になるか確認しました。
SSLCipherSuite ALL:!ADH:+EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
$ openssl s_client -connect example.com:443 -cipher EXPORT CONNECTED(00000003) depth=0 C = JP, ST = Some.... verify error:num=18:self signed certificate (snip) verify return:1 Server certificate -----BEGIN CERTIFICATE----- MIICjTCCAfYCCQCHI2CZWtoFlzANBgkqhkiG9w0BAQUFADCBijELMAkGA1UEBhMC (snip) SSL handshake has read 1092 bytes and written 199 bytes --- New, TLSv1/SSLv3, Cipher is EXP-EDH-RSA-DES-CBC-SHA Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : EXP-EDH-RSA-DES-CBC-SHA (snip) Timeout : 300 (sec) Verify return code: 18 (self signed certificate) ---
SSLCipherSuite ALL:!ADH:+EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
$ openssl s_client -connect example.com:443 -cipher EXPORT CONNECTED(00000003) 2348736:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:762: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 73 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE ---Tweet