質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

解決済

Linux上のOpensslの暗号化スイートの削除方法について

minhouse10
minhouse10

総合スコア41

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

2回答

0リアクション

0クリップ

263閲覧

投稿2022/08/12 07:15

前提

セキュリティレベルを強化するために、Linux(CentOS)のOpensslで使われている弱い暗号化スイートを削除する方法を調べており、IPAのガイド(https://www.ipa.go.jp/security/ipg/documents/tls_cipher_suite_config_20200707.pdf)などを確認してみたのですが、今回はOpensslのTLSをライブラリとして使うアプリケーションは当該サーバー上で動いていないため、純粋にOpensslで利用可能となっている脆弱な暗号化スイートを利用できないようにする、または指定した下記の暗号化スイートのみを明示的に利用可能とするための方法を知りたいです。実際にどのようなコマンドを実行すれば良いのか、または構成ファイルにて制御するのか具体的な方法を特定できておりません。どなたかご教授頂ければ幸いです。

どうぞ、よろしくお願い致します。

CentOS 7
Openssl 1.1.1n

実現したいこと

openssl ciphers -v |wc -lを実行すると合計で60個、openssl ciphers -v 'ALL:COMPLEMENTOFALL' |wc -lを実行すると合計で163個の暗号化スイートがありますが、
以下の23個の暗号化スイートのみを有効化したい。

TLS_DH_RSA_WITH_AES_256_CBC_SHA256:TLS_DHE_RSA_WITH_AES_256_CBC_SHA256:TLS_DH_DSS_WITH_AES_256_GCM_SHA384:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384:TLS_DH_RSA_WITH_AES_256_GCM_SHA384:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384:TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384:TLS_RSA_WITH_AES_256_GCM_SHA384:TLS_RSA_WITH_AES_256_CBC_SHA256:TLS_DH_DSS_WITH_AES_256_CBC_SHA256:TLS_DHE_DSS_WITH_AES_256_CBC_SHA256:TLS_DHE_DSS_WITH_AES_256_GCM_SHA384:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384:TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384:TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384:TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384

以下のような質問にはリアクションをつけましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

リアクションが多い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 間違っている
  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

maisumakun

2022/08/12 07:29

「OpenSSLのTLSをライブラリとして使うアプリケーション」はどのようなものですか?
maisumakun

2022/08/12 07:44

そのアプリケーション側から設定する、あるいはアプリケーションのソースコードを書き換えて対応する、というような手段は取れないのですか?
minhouse10

2022/08/12 08:15

はい、このサーバー上で動いているアプリケーションでは暗号化処理は行っていないため、アプリケーションの設定ファイルでの制御はできない状況です。よって今回はLinuxサーバーのセキュリティハードニングの要件に該当するかと思います。
maisumakun

2022/08/12 08:31

> このサーバー上で動いているアプリケーションでは暗号化処理は行っていないため、アプリケーションの設定ファイルでの制御はできない状況です。 であれば、OpenSSLを使っているのは「何」なのでしょうか?そこが把握できないので質問の意図が取れない状況です。
minhouse10

2022/08/12 09:00

ご確認ありがとうございます。メインで稼働しているアプリケーションでは暗号化処理は行っていないのでっそもそもOpenssl自体を削除すればとも考えましたが、Openssl自体は他のOpensshなどの必須となる機能と依存関係があり削除はできないと判断しました。よって知りたいのはLinux上で暗号化スイート単位での無効化や削除する方法です。Windowsですと具体的な手順があるのですが、Linuxでは調べても確認できていない状況です。
maisumakun

2022/08/12 09:04

「暗号化処理を行っていない」のであれば「無効化する必要もない」という結論になると思いますが、そうではないのですか?
minhouse10

2022/08/12 09:31

実務上はそうだと思うのですが、お客様から脆弱な古いCipherは削除してほしいとの要望があり調査をしております。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

OpenSSL

OpenSSLはSSL/TLSのプロトコルと一般的な暗号のライブラリを導入するオープンソースのソフトウェアのツールキットです。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。