脆弱性 Logjam Attack対策 for Firefox

最終更新日

使用中のブラウザーを検査してくれるサイト

Logjam Attackについて解説されているページ
https://weakdh.org

この脆弱性は暗号プロトコルのDiffie-Hellman key exchange(DH)にあるもので、サーバーや各種ブラウザー等が影響を受けるそうです。

上記URLにアクセスするだけで、使用中のブラウザがLogjam Attack脆弱性のリスクを抱えているか否かを診断してくれます。

早速Firefox 38.0.1とIE10でアクセスしたら、Firefoxが赤(警告)、IE10が青(安全)でした。(OS:Windows8)

IE10は2015年5月のWindows Updateで修正済でした。

マイクロソフト セキュリティ情報 MS15-055
https://technet.microsoft.com/ja-jp/library/security/ms15-055.aspx

Logjam Attackのリスクがある場合は赤く表示されます。

Logjam Attackのリスクがある場合は赤

普段利用しているのサイトの状態をチェックしてみたところ、Logjam Attackリスクのある所が結構ありました。

Logjam Attack対策は別として、いまだにTLS FALLBACK対策がとられていないサーバーがいくつかありました。SSL2まで利用可能なところも‥‥‥。

サーバーやシステム管理者などは別として、一般のユーザーがやるべきことはブラウザーのアップデート(だけ)。でも、修正が来るまで少し不安なので、Firefoxの設定を変えてみました。

Firefoxの設定変更

先に挙げたサイトには、DHE EXPORT ciphersが~と書かれているので、とりあえずDHEに関係する項目を探して無効に。

  1. Firefoxのロケーションバー(アドレスバー)にabout:configと入力し、Enterキー。
  2. 検索boxにDHEと入力。
  3. 一覧の中に、次の2行があったので、ダブルクリックでtrue(デフォルト)→falseに変更。

    • security.ssl3.dhe_rsa_aes_128_sha
    • security.ssl3.dhe_rsa_aes_256_sha

Firefoxでsecurity.ssl3.dhe_rsa_aes…をfalseにしたところ

その後、https://weakdh.org で確認したら、青(安全)に変わっていました。

Logjam Attackのリスクがない場合は青

上記の変更で無効にしたものは、
(https://www.ssllabs.com/ssltest/viewMyClient.htmlでの診断によれば)

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Firefoxの修正がきたらtrueに戻すことになるでしょう。

(2015/07/05追記)

下記の通り、Firefox 39.0で修正されたので、trueに戻しました。

[追記] Firefox 39.0で修正された。

Firefox 39.0にアップデート後、下の2項目をデフォルトのtrueに戻してみました。

  • security.ssl3.dhe_rsa_aes_128_sha
  • security.ssl3.dhe_rsa_aes_256_sha

その後、冒頭で紹介したサイト( https://weakdh.org )で判定してもらいました。

その結果、Logjam Attackに関してはsafeと判断され、修正されていることが確認できました。

https://www.ssllabs.com/ssltest/viewMyClient.html

上のサイトでも問題なしと判断されました。

関連記事