AWS環境のDROWN対応 (CVE-2016-0800)について | DevelopersIOはじめに AWSチームのすずきです。 2006年3月1日、SSL/TLSが不正に盗聴される恐れのある脆弱性として DROWN (Decrypting RSA with Obsolete and Weakened eNcryption)の報告がありました。 An OpenSSL User’s Guide to DROWN AWSからも、ELB(ロードバランサ)利用者向けのアナウンスがありましたので、その内容について紹介します。 CVE-2016-0800 Advisory DROWNについて サーバがSSLv2による接続が可能な場合、第三者による攻撃により暗号化された通信が不正に復号される恐れがあります。 AWSでの対応について ELB AWSコンソールのEC2画面より、「ロードバランサー」の画面を開きます。 対象となるELBを指定し、「リスナー」のタブから「変更」を指定し設定画面を開きます
