数日前SSL化をしようとして、テストでhttpsでアクセスできるところまで行ったけど、ほんとにできてるかなって感じでSSL通信ができているか確認できるサービスを使ってみました。
どちらも(たぶん)有名どころかな
で、httpsで行ったところ脆弱性のあるSSLv3での通信が可能になっていました。
ちなみにSSLって言っちゃっているけど実際にはTLSで通信している。
SSLという名が結構知れ渡っているのでよくSSLまたはSSL/TLSとあらわされていて、SSL、TLSにバージョンがあって
- SSLv1
- SSLv2
- SSLv3
- TLSv1.0
- TLSv1.1
- TLSv1.2
SSLシリーズは脆弱性という問題があるので現在利用を推薦されていない(SSLv1はそもそも公開される前から脆弱性があった)
うゎ堅苦しいわぁとか思ったら、SSLとTLSがあってSSLは現在使わないほうがいいよ、でも名前はSSLってでることがあるよ、な感じに覚えればいいんじゃないかな(雑)
あと、全てをSSL化すればいいもんじゃなくて(無料のもあるけど)費用や管理が大変。こんなブログに付けたいのはただの自己自慢(やってみたいんですっ)
とにかくSSLv3が使えると出ちゃっていたもんで、もしSSL化しても危ないのと、共用サーバーなのでほかの利用者がいるので問い合わせをしてみた
要約すると
「心配かけてすいませんでした。SSLv3は使えないようにしました。」
とのこと。
これで安心してSSL(TLS)が使えますね!
コメント