テクニカルトピックス

【2021.2.9】Swivel Applianceの暗号化通信(SSL/TLS)について

 Swivel ApplianceではSSL V2/V3のようなセキュリティ上問題がある通信を抑止し、現在はTLS1.2のみをサポートしています。
今回は、Swivel Applianceで使用している暗号通信のプロトコルについて詳しくご説明いたします。



 まずSwivel ApplianceはWebサービスとして機能する、考慮すべき下記の2つのプログラムを持っています。

  • Apache Tomcat: AuthControlSentryのようなSwivelJava Webアプリを実行します
  • Webmin: DB管理で使用しますが、本番環境ではオフにする必要があります
  • それぞれの暗号化通信のサポート状況について下記にてご説明いたします。
Apache Tomcat

 最新のAppliance BuildはTLS1.2のみをサポートしています。これは、ほとんどの暗号が安全に使用できなくなったためです。
 一部のお客様は、従来システムとの互換性のためにTLS1.0を引き続き必要とする場合があります。そのような場合、お客様がリスクを承知の上で、必要に応じて、古い暗号を手動で追加して、TLS1.0およびTLS1.1との互換性を維持することができます。

  • SSLV2 =No(40ビット/56ビット暗号の問題のため、かなり前のバージョンで削除されました)
  • SSLV3 =No(POODLE攻撃対策のため、2014年に削除されました)
  • TLS 1.0 =No(お客様の要求に応じて手動で有効にすることができます)
  • TLS 1.1 =No(お客様の要求に応じて手動で有効にすることができます)
  • TLS 1.2 =Yes
Webmin

 Webminは非常に古いプログラムですので、SSLV2を使用するように構成できます。ただし、webmin構成ではデフォルトで無効にする必要があります。
Swivel Applianceのコマンドラインから、OSのコマンドラインに入り、構成ファイル:「/etc/webmin/miniserv.conf」を確認します。 この設定では、デフォルトでは下記の設定となっています。
no_sslv2 = 1
no_sslv3 = 1
(これらは、SSLV2とSSLV3が無効になっていることを意味します)

また、さらに制限できる特定の暗号のリストがありますが、パラメーターが1に設定されている場合は使用しないでください。

ssl_cipher_list=ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:RC4:HIGH:MEDIUM:+TLSv1:!MD5:!SSLv2:+SSLv3:!ADH:!aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM

  • SSLV2 =no(構成によって無効になります)
  • SSLV3 =no(構成によって無効になります)
  • TLS 1.0 =yes
  • TLS 1.1 =yes
  • TLS 1.2 =yes

※最近では、企業のセキュリティ監査でSSL2.0の使用を禁止している場合があります。
 そのような場合、Swivel ApplianceではSSL通信をデフォルトでは抑止していますので、安心してその旨を監査部門にご回答下さい。