採用情報

お問い合わせ

BLOG

SSL/TLS サーバー証明書 BLOG

技術動向

2014 年 04 月 08 日

OpenSSL の脆弱性 Heartbleed について

Heartbleed とは?

Heartbleed は OpenSSL というオープンソースの暗号ソフトウェアライブラリ上で発見された脆弱性です。
本脆弱性は 2014 年 4 月 7 日に CVE-2014-0160 で発表されました。

OpenSSL には SSL の死活を監視する機能として「Heartbeat」があり、本脆弱性はこの機能の処理における境界チェックの不備に起因します。

本脆弱性が悪用された場合、システムのメモリ内の情報が第三者に閲覧され、SSL 暗号化通信の内容や秘密鍵などの重要情報が漏洩する可能性があります。

※本脆弱性を発見したフィンランドのセキュリティー企業 Codenomicon 社による説明は、以下をご確認ください。
The Heartbleed Bug(英文)

影響範囲

「Heartbeat」は OpenSSL の Version 1.0.1 で 2012 年 3 月 14 日にリリースされており、2014 年 4 月 7 日に本脆弱性が修正されるまでの以下バージョンにおいて本脆弱性が有ります。

  • OpenSSL 1.0.1 ~ 1.0.1f
  • OpenSSL 1.0.2-beta ~ 1.0.2-beta1

※「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルしている場合を除きます。

確認方法

SSL サーバー証明書をご設定いただいているサーバーソフトウェアやロードバランサー、SSL アクセラレーターで OpenSSL が利用されていないか、また利用されている場合は該当バージョンをお使いではないかご確認ください。

なお、ご参考までに弊社の確認している情報を以下にご案内いたします。

■ 本脆弱性の対象外となるサーバー

詳細は以下の各社 Web サイトをご覧ください。

■ロードバランサーや SSL アクセラレーター

恐れ入りますが、ロードバランサや SSL アクセラレータの脆弱性の有無につきましては、ご利用のマニュアルやベンダー様にご確認ください。

■OpenSSLを利用するサーバー
  • Apache
  • nginx

Apache、nginx で OpenSSL を使って SSL 通信を行っている場合、以下コマンドを実行して OpenSSL のバージョン確認をお願いします。

# openssl version

該当するバージョンの OpenSSL を利用されている場合は対策が必要です。
次項目の対策フローをご参照ください。

本脆弱性の対策フロー

該当バージョンの OpenSSL をご利用の場合、秘密鍵情報が漏えいしている可能性があり、その対策フローとしてはサーバー証明書の再発行と既存証明書の失効が必要です。

以下のフローに従ってご対応ください。

【1】OpenSSL のバージョンアップ・再コンパイル

該当バージョンの OpenSSL をご利用の場合、OenSSL を最新のバージョンへ変更します。
もしくは、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルし、「Heartbeat」を無効にします。

【2】秘密鍵・CSR の再作成

最新バージョンの OpenSSL で秘密鍵(※)と CSR を新たに作成します。
※本脆弱性に伴う秘密鍵の再作成に関する追加のお知らせ

【3】サーバー証明書の再発行(※)

弊社では本脆弱性に該当する OpenSSL をお使いの場合、サーバー証明書を無償で再発行いたします。
ご利用中の受付番号とコモンネームを総合受付(E-mail: servicedesk@cybertrust.ne.jp)までお知らせください。
弊社より無償再発行用チケットコードをお知らせしますので、新しく作成したCSRにて再申請をお願いします。

【4】サーバー証明書の設定

新しく発行されたサーバー証明書をご利用機器へ設定します。

【5】再発行元のサーバー証明書の失効(※)

再発行されたサーバー証明書の正常動作を確認されましたら、再発行元のサーバー証明書を失効してください。
※お手続き詳細はチケットコードご案内時にお知らせいたします。

本脆弱性に伴う秘密鍵の再作成に関して

この度の OpenSSL の脆弱性「Heartbleed」の対応について、秘密鍵を再作成せずに再発行したサーバー証明書を適用している Web サイトが世の中に多数存在しているとして、英国の Netcraft 社が注意喚起しています

本脆弱性が悪用された場合、秘密鍵が漏えいしている可能性があるため、その対応として、秘密鍵を再作成した上でサーバー証明書を再発行することが重要となります。

サーバー証明書を再発行されたお客様におかれましては、以下4点につきまして、再度ご確認をお願いします。

  • OpenSSL のバージョンアップ(または再コンパイル)の実施
  • 秘密鍵の再作成、およびその秘密鍵から新たに作成した CSR にて弊社へお申し込み
  • 再発行したサーバー証明書の利用機器への設定
  • 再発行元のサーバー証明書の失効の実施

特に上記「2」について未対応の場合、秘密鍵の再作成後に改めてサーバー証明書の再発行を承りますので、上記の「本脆弱性の対策フロー」に従い、再度ご対応をお願いします。

FAQ

Q. 本脆弱性に該当しないバージョンの OpenSSL で CSR を作成しました。影響はありますか?
A. はい。CSR 作成時の OpenSSL のバージョンに関わらず、実際に SSL 通信を行っているご利用機器の OpenSSL のバージョンが本脆弱性に該当するバージョンの場合は影響を受けます。

Q. 該当バージョンより古い OpenSSL を利用している場合、影響はありますか?
A. いいえ。本脆弱性の影響は受けません。ただし、セキュリティ上の観点から最新バージョンのご利用を推奨いたします。

Q. 証明書の再発行や証明書の失効は必須ですか?
A. はい。該当バージョンをご利用の場合、秘密鍵情報の漏えいを否定できないため、必須としています。

Q. サイバートラストのサーバー証明書だけで起こりますか?
A. いいえ。発行元の認証局に関わらず、該当バージョンの OpenSSL でサーバー証明書をご利用いただいている場合に影響を受けます。

Q. サイバートラストのシステムに影響はありますか?
A. いいえ。サイバートラストのシステムには影響ございません。ご安心ください。

Q. 再発行されたサーバー証明書をインストールする際、中間 CA 証明書も設定を変更する必要がありますか?
A. いいえ。現在ご設定されている中間CA証明書は、引き続きご利用いただけます。ただし、以下の条件を満たす場合は中間 CA 証明書も設定を変更する必要があります。

  • SureServer[2048bit]・SureServer[SHA-2] をご利用
  • 再発行元のサーバー証明書の発行日が 2013 年 8 月 2 日 20:59(JST)以前である

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime