ページ更新日:2023/05/04
Heartbleed(サーバー秘密鍵を含むメモリデータが漏洩する可能性のあるOpenSSL脆弱性)への対応手順は下記のとおりです。
2014年に発覚したOpenSSL脆弱性に起因する問題です。
適切にメンテナンスされているWebサーバーをお使いであれば、現在はあまり影響ありません。
OpenSSLのバージョンが Heartbleed脆弱性を含む下記に該当している場合には、まず最初にサーバーの OpenSSLをバージョンアップします。
OpenSSLのバージョンが該当していない場合や、IISなどOpenSSLを利用していない環境においては、以下の Heartbleed対策は不要です。
・OpenSSL 1.0.1 ~ 1.0.1f
・OpenSSL 1.0.2-beta ~ 1.0.2-beta1
既存のSSL証明書とは異なるキーペアを作成して、その鍵を元にCSRを作成し、SSL証明書を再発行します。
再発行の手順は 再発行(reissue)のお手続きについて をご確認ください。
SSL証明書が再発行されたら、そのSSL証明書をサーバーへインストールします。
※この対応によって、今までとは異なる秘密鍵でSSL通信されるようになるので、仮に過去の秘密鍵が漏洩していたとしても、それ以降のSSL通信は安全になります。
失効(revoke)のお手続きについて に記載の手順にそって古いSSL証明書を失効します。
失効手続きが完了すると、古いSSL証明書のシリアルナンバーが失効リスト(CRL)に記載されますので、
失効リスト(CRL)を参照しているブラウザが旧SSL証明書を無効とみなすことができます。
※漏洩した秘密鍵をもとに「なりすまし環境」が作成され、DNS詐称と組み合わせた攻撃が行われたとしても、失効リスト(CRL)によってそのSSLは無効とみなされます。