OpenSSL に含まれる脆弱性への対応について

ジオトラスト社はOpenSSL の重大な脆弱性について、以下のアナウンスを行います。

■内容

OpenSSL （1.0.1から1.0.1f）および OpenSSL（1.0.2-betaから1.0.2-beta1）に重大な脆弱性が発見されました。
Webサーバにおいて該当するバージョンを使用している場合には、システムのメモリ内容が通信相手に漏えいする恐れがあります。

■対応概要

OpenSSLの該当するバージョンを使用されている場合は、最新のバージョン OpenSSL（1.0.1g、1.0.2-beta2予定）への更新をお願いします。
更新後、秘密鍵及びSSL証明書の再発行、再設定を推奨いたします。

■対応ステップ

1. サーバーにOpenSSL（1.1.0.1から1.0.1f）およびOpenSSL（1.0.2-betaから1.0.2-beta1）を使用しているか確認します。
2. OpenSSLの該当するバージョンを使用している場合、最新の修復されたバージョンであるOpenSSL（1.0.1g）またはOpenSSL（1.0.2-beta2予定）に更新します。
または、OpenSSLのheartbest拡張の実装を止めます。
3. 修復されたバージョンのOpneSSLへ移行した後に、ウェブサーバに設定されているSSL証明書を再発行し、再設定します。　今までのSSL証明書はすべて削除します。
SSL証明書の再発行手続きは、こちら（リンク）から。（無料）
4. 再設定したSSL証明書をチェックします。
SSL証明書のチェックは、こちら（リンク）から。
5. システムのメモリー内容にあったユーザー・パスワードの再設定を行うか検討します。

6. 今までのSSL証明書の失効手続きは、こちら（リンク）の「Customer Support − Revocation Process」以下内容に従い行ってください。

■SSL証明書の再発行について

再発行手続きは無料です。
発行されたSSL証明書の期限に変更はありません。

■参考

JVN

情報処理胃推進機構（IPA）



GeoTrustとは

SSL証明書、暗号化技術と第三者認証サービスにおける、全世界シェア第二位のリーディングブランドです。
リンク