2016年3月1日
本日、OpenSSL Security Advisory と複数の研究者が共同で、「Decrypting RSA with Obsolete and Weakened Encryption」(DROWN) と呼ばれる HTTPS に対する新しい攻撃を公表しました。Fastly の既存の TLS 設定により、Fastly のサービス、および Fastly を CDN として使用されているお客様には、この攻撃に対する脆弱性はありません。
なし。Fastly の既存の設定には、DROWN に対する脆弱性はありませんでした。
お客様によるアクションは必要ありません。
DROWN 脆弱性の悪用は、最新バージョンのプロトコルに加えて SSLv2もサポートしているサーバーで使用されている秘密鍵を利用して行われます。Fastly は2014年10月以降、Fastly エッジの HTTPS 設定で SSLv2と SSLv3を無効化し、TLS 1.0以降のみをサポートしています。Fastly では、利用可能な最新の OpenSSL リリースの みをデプロイします。同様に、Fastly ではダウングレードされたエクスポートグレードの暗号スイートをサポートしていません。HTTPS のために Fastly が生成した秘密鍵または Fastly が委託された秘密鍵が、他の暗号化されたサービス (SMTP など) に使用されることは一切ありません。
下位互換性のためにデプロイされた非推奨または脆弱な暗号方式の悪用に的を絞った攻撃は、依然としてセキュリティコミュニティにとっての課題です。Fastly は、移行中のお客様およびそのユーザーと連携して、安全でないテクノロジーを迅速に排除できるよう最良のバランスをとることに注力します。
詳細については、DROWN 攻撃のホームページ、著者の Q&A、およびテクニカルペーパーを参照してください。本日の OpenSSL Security Advisory には、OpenSSL に固有の追加の詳細が記載されています。