SSLダウングレード攻撃に備えるツイート 以前SSL証明書を取得してnginxの設定を入れたのだけど、 そのままだとセキュリティ的によろしくなさそうなので更新を。 SSLの通信は、ざっくり捉えると下図のようなシーケンスをたどる。 暗号化といっても色々なアルゴリズムがあるので、 サーバとクライアント間で同じアルゴリズムを利用しなければ正しく復号できない。 従って、最初にどのアルゴリズムを利用するかのネゴシエーションがある。 当然ながらこの段階では平文で通信しなければならない。 まず、Client Helloで端末側で対応している暗号スイーツを送る。 (実際のパケットはこんな感じ) 暗号スイーツとは、暗号化のアルゴリズムのことと捉えて貰って問題ない。 サーバ側は、送られてきた暗号スイーツの中から一つを選び、 Server Helloでクライアントに伝える。 この段階でようやく暗号化アルゴリズムが決定するので、 ここから暗号通
