皆さん こんにちは @infocircus です。 SSLの脆弱性対応や緊急度の高いセキュリティ対応が多かった2014年ですが、2014年度の年度末と言うこともあり設定を再確認しています。 まずは、Linuxディストリビューションの標準設定で SSLを有効にした場合のSSL強度を測定してみました。 設定した項目は、SSLの秘密鍵と証明書・中間証明書だけの状態です。 新しいディストリビューションを使用しましたので、最低限 SSLv2 や SSLv3は無効になっています。 SSLのチェックは、GlobalSignの「SSLチェックツール」を使用します。 URL : https://sslcheck.globalsign.com/ja/sslcheck 診断の結果は、グレードC。暗号強度などは スコア0でひどい状態です。 見つかった指摘事項は、次のような項目です。 セッションはBEAST攻撃を受