ニコニコ動画ã«https(SSL)接続ã§ããªã‹ã£ãŸä»¶
発端ã¨ã—ã¦ã¯ã€æŸæ‰€ã®OpenSSLã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚’ã‚ã’ãŸã‚‰å•é¡ŒãŒç™ºç”Ÿã™ã‚‹ã‚ˆã†ã«ãªã£ãŸã€‚(1.0.0->1.0.1)
ãã‚Œã¨ã¯åˆ¥ã«ã€è‡ªåˆ†ã®å€‹äººã‚µãƒ¼ãƒãƒ¼ã€äºŒç®‡æ‰€ã§ã‚‚å•é¡ŒãŒç¢ºèªã§ããŸã®ã§ã€ãªã«ã‹ã‚ã‚‹ã®ã ã¨æ€ã†ã€‚
追記 20140413
ベストプラクティスをサジェストã—ãŸã„記事ã§ã¯ãªã‹ã£ãŸã®ã§ã™ãŒã€ä»¥å¤–ã¨ãƒ–クマã¤ã„ã¦ã—ã¾ã£ãŸã®ã§ã€ä¸€å¿œã€‚
書ããŸã‹ã£ãŸäº‹
・今回オートãƒã‚´ã‚·ã‚¨ãƒ¼ã‚·ãƒ§ãƒ³ãŒå•é¡ŒãŒã‚ã‚‹ã£ã½ã‹ã£ãŸï¼ˆã“ã‚ŒãŒæ›¸ããŸã‹ã£ãŸï¼‰
・気軽ã«ãƒ‘ッケージアップデートã™ã‚‹ã¨ã€æŒ™å‹•ãŒå¤‰ã‚ã£ã¦æ‚²ã—ã¿ã«ãã‚ŒãªãŒã‚‰ãƒ€ã‚¦ãƒ³ã‚°ãƒ¬ãƒ¼ãƒ‰ã—よã†ã¨ã—ã¦ã‚‚戻ã›ãªã„ã“ã¨ãŒã‚ã£ã¦ãƒ—ãƒãƒ€ã‚¯ã‚·ãƒ§ãƒ³ã‚³ãƒ¼ãƒ‰ã‚’調査ã—ã€ç›´ã™ãƒãƒ¡ã«ãªã‚‹äº‹ãŒã‚ã£ã¦ã¤ã‚‰ã„ã‹ã‚‰æˆ»ã›ã‚‹ã‚ˆã†ã«æ°—を付ã‘よã†ï¼ˆã“れも書ããŸã‹ã£ãŸï¼‰
特ã«è¿½è¨˜ã—ã¦ãŠããŸã„ã®ã¯ä»¥ä¸‹
・例ã§SSLv3指定ã—ãŸã®ã¯ä½™ã‚Šæ„味ã¯ãªã„
・今ãªã‚‰ã€ŒTLSv1(PHPãªã‚‰tls://)ãŒã‚ˆã„ã€
オマケ
・SSLv2ã¯ãã‚‚ãã‚‚æ‹’å¦ã•ã‚Œã¦ã„る(ã“ã‚Œã¯ã¾ã‚当然感ã‚る)
今ã§ã¯ã‚‚ã†TLSサãƒãƒ¼ãƒˆã—ã¦ãªã„サーãƒãƒ¼ã‚‚ã™ããªã„*1
検証環境
個人サーãƒãƒ¼ãã®ï¼‘ã€ã•ãらã®VPSã€æŽ¥ç¶šã§ããšã€‚
$ cat /etc/redhat-release CentOS release 6.5 (Final) $ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 $ rpm -qa |grep openssl openssl-1.0.1e-16.el6_5.7.x86_64
個人サーãƒãƒ¼ãã®ï¼’ã€Vultrã€æŽ¥ç¶šã§ããšã€‚
ãん1ã¨åŒã˜æ§‹æˆã€‚
個人サーãƒãƒ¼ãã®ï¼“ã€ã•ãらã®VPSã€æŽ¥ç¶šã§ããŸ
$ cat /etc/redhat-release CentOS release 5.10 (Final) $ openssl version OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 $ rpm -qa |grep openssl openssl-0.9.8e-27.el5_10.1
å…ˆã«æ›¸ã„ã¦ãŠããŒã€ç›´è¿‘ã®HeartBleedã§ã®ãƒ‘ッケージアップデートã¨ã¯é–¢ä¿‚ãŒãªã‹ã£ãŸã€‚(ダウングレードã—ã¦ã‚‚ã€æŽ¥ç¶šã§ããªã‹ã£ãŸï¼‰
例
å˜ç´”ã« https://secure.nicovideo.jp ã«æŽ¥ç¶šã—ã«ã„ãã“ã¨ã§ç¢ºã‹ã‚られãŸã€‚
# wget https://secure.nicovideo.jp --2014-04-11 21:10:28-- https://secure.nicovideo.jp/ secure.nicovideo.jp ã‚’DNSã«å•ã„ã‚ã‚ã›ã¦ã„ã¾ã™... 202.248.110.180 secure.nicovideo.jp|202.248.110.180|:443 ã«æŽ¥ç¶šã—ã¦ã„ã¾ã™... 接続ã—ã¾ã—ãŸã€‚ SSL ã«ã‚ˆã‚‹æŽ¥ç¶šãŒç¢ºç«‹ã§ãã¾ã›ã‚“。
失敗ã¾ã§çµæ§‹å¾…ã¤ã€ã‚¿ã‚¤ãƒ アウトをã—ã¦ã„るよã†ã 。OpenSSL 0.9ç³»ã€1.0.0ç³»ã§ã¯ã“ã®ç¾è±¡ã¯ç™ºç”Ÿã—ãªã„模様。
ã“ã‚ŒãŒã€wgetã®secure-protocolã§ã€SSLv3を指定ã—ã¦ã‚„ã‚‹ã¨é€šã‚‹ã€‚
(追記ã—ã¾ã—ãŸãŒã€ã„ã¾ãªã‚‰ã€ŒTLSv1ã€ã®ã»ã†ãŒè‰¯ã„ã§ã—ょã†*2)
# wget --secure-protocol=SSLv3 https://secure.nicovideo.jp/ --2014-04-11 22:04:44-- https://secure.nicovideo.jp/ secure.nicovideo.jp ã‚’DNSã«å•ã„ã‚ã‚ã›ã¦ã„ã¾ã™... 202.248.110.180 secure.nicovideo.jp|202.248.110.180|:443 ã«æŽ¥ç¶šã—ã¦ã„ã¾ã™... 接続ã—ã¾ã—ãŸã€‚ HTTP ã«ã‚ˆã‚‹æŽ¥ç¶šè¦æ±‚ã‚’é€ä¿¡ã—ã¾ã—ãŸã€å¿œç”ã‚’å¾…ã£ã¦ã„ã¾ã™... 302 Found å ´æ‰€: https://secure.nicovideo.jp/secure/ [続ã] (以下略)
secure-protocolã¯ã„ãã¤ã‹æŒ‡å®šã§ãã‚‹ãŒã€TLSv1ã€SSLv3ã¯å•é¡Œç„¡ãã€SSLv2ã§ã‚¨ãƒ©ãƒ¼ã€autoã¯å‰è¿°ã®ã‚¿ã‚¤ãƒ アウト的ãªã‚¨ãƒ©ãƒ¼ã«ãªã£ãŸã€‚
例2
ã“ã‚Œã¯PHPã®stream_socket_clientã§ã‚‚åŒæ§˜ã§ã‚ã‚Šã€ä»¥ä¸‹ã‚³ãƒ¼ãƒ‰ãŒå‹•ä½œã—ãªã„。
<?php
$socket = stream_socket_client("ssl://secure.nicovideo.jp" . ':' . "443",
$errno,
$errstr,
(int) 10,
STREAM_CLIENT_CONNECT);
if (!$socket) {
echo "error!";
}
--
# php test.php
PHP Warning: stream_socket_client(): SSL: crypto enabling timeout in /root/tmp/test.php on line 6
PHP Warning: stream_socket_client(): Failed to enable crypto in /root/tmp/test.php on line 6
PHP Warning: stream_socket_client(): unable to connect to ssl://secure.nicovideo.jp:443 (Unknown error) in /root/tmp/test.php on line 6以下ã®ã‚ˆã†ã«sslv3を指定ã™ã‚‹ã¨å‹•ã。
(追記ã—ã¾ã—ãŸãŒã€ã„ã¾ãªã‚‰ã€Œtls://ã€ã®ã»ã†ãŒè‰¯ã„ã§ã—ょã†*3)
<?php
$socket = stream_socket_client("sslv3://secure.nicovideo.jp" . ':' . "443",
$errno,
$errstr,
(int) 10,
STREAM_CLIENT_CONNECT);
if (!$socket) {
echo "error!";
}ã“ã®ã»ã‹ã«ã€wgetåŒæ§˜ã«æŒ‡å®šã§ãã‚‹ã‚‚ã®ãŒã‚ã‚‹ãŒã€sslã¯wgetã®auto相当ã£ã½ãタイムアウト待ã¡ã«ãªã‚Šã€sslv2ã¯åŒæ§˜ã«ã‚¨ãƒ©ãƒ¼ã«ãªã£ãŸã€‚
ã¾ã¨ã‚
特ã«ã¾ã¨ã‚るよã†ãªã“ã¨ã¯ãªã„ãŒã€SSLã§æŽ¥ç¶šã§ããªã„ã¨ãã¯ã€SSL/TLSã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚’ã‹ãˆã¦ã¿ã‚‹ã®ã‚‚よã„ã¨ãŠã‚‚ã„ã¾ã™ã€‚
番外ã¾ã¨ã‚
ã“ã†ã„ã£ãŸã‚ˆãã‚ã‹ã‚‰ãªã„ã“ã¨ã¯ãŸã¾ã«ç™ºç”Ÿã™ã‚‹ã®ã§ã€rpmをアップグレードã™ã‚‹ã¨ãã¯ã€ç¾åœ¨ã®rpmã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³IDã‚’ãã¡ã‚“ã¨æ›¸ã残ã—ã¦ãŠã“ã†ã€‚
ã•ã‚‰ã«ã€ãã®éŽåŽ»ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã®RPMãŒæœ¬å½“ã«å…¥æ‰‹ã§ãã‚‹ã‹ï¼ˆdowngradeãªã©ã§å¼•ã‘ã‚‹ã‹ï¼Ÿï¼‰ã‚’ãã¡ã‚“ã¨ç¢ºèªã—ã¦ã‹ã‚‰ã‚„らãªã„ã¨ã€ã˜ã¤ã¯æ‰‹ã«å…¥ã‚‰ãªã„ã¨ã‹ãã†è¨€ã†äº‹ãŒã‚ã‚‹ã®ã§æ°—ã‚’ã¤ã‘ã¾ã—ょã†ã€‚
