公開日:2015/03/06
FREAK攻撃対策としてIEのCipher Suiteを設定する方法を見つけたのでメモする。
Microsoft Security Advisory 3046015の通りにやるだけ。
設定はローカルグループポリシーエディターで行う。
コマンドプロンプトかスタートメニューで「gpedit.msc」を実行すれば起動する。
[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL構成設定]>[SSL暗号の順位]。
[有効(E)]を選択して[SSL暗号]ボックスを書き換えるだけ。
テキストボックスが狭すぎて直に入力するのはだるすぎるのでテキストエディタで編集後にコピペすればOK。
とりあえずMicrosoftの記事通りに設定。
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHAOS再起動後、FREAK Attack: Client CheckでGood News!になることを確認(σ・∀・)σ
FREAK攻撃チェックはパスできるようになった。
でも現状このCipher Suiteだとサーバ側が対応してなくてアクセスできないSSLページが結構ある。
楽天市場ログインできね(:3_ヽ)_
設定を元に戻す場合は[未構成(C)]または[無効(D)]を選択すればOK。
Cipher Suiteについてもっと勉強しよう。