Baldanders.info

Renegotiating TLS について

SSL/TLS の再ネゴシエーション処理にプロトコル上の欠陥があり, HTTPS において Man-In-The-Middle 攻撃(ぶっちゃけて言えばなりすましのこと)を受ける可能性があるらしい。

これに対して OpenSSL は新しいバージョン 0.9.8l をリリースした。

ただしこのバージョンは今回の脆弱性を修正したものではなく, 再ネゴシエーション機能を丸ごと削除したものらしい。 今後については既にドラフト案も挙がっているが, 今回の脆弱性はプロトコルに関わる部分なので最終的に修正されるのはちょっと時間がかかりそうな感じ。

SSL/TLS についてはしばらく注意していたほうがいいかもしれない。