nginxでSSLv3を無効にする。

The POODLE attack (CVE-2014-3566) against SSL – NGINX
最初プニキアタックかと思いました。
脆弱性の愛称に一般的に使われる名詞を付けられるとググラビリティに影響するのでやめて欲しいです。「POODLE」でついったー検索したら外国の「プードル大好き♥」なおねーちゃんのツイートを拾ってきて、なんかよくわかんないけどイライラしました。

各.conf内のserver{}内か、全体設定にしたい場合は/etc/nginx/nginx.confのhttp{}に以下の設定値を書き込むことで無効化できます。

ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;

ssl_protocolsディレクティブについては以下を参照してください。
Module ngx_http_ssl_module

SSLv3を切っちゃうとTLSに対応してないブラウザ(Windows XP IE6とか一部ガラケー)がSSLサイトにアクセスできなくなりますが、正直そんなクソ古い環境のことなんか知るかという感じなのでどうでもいいです。
このサイトは使ってるopensslのバージョンの関係でTLSv1.0にしか対応してないのですが、正直バージョン上げたくない(上げられない)のでこのままでいいかと思ってます。

コメントを残す