RFC5746 (SSL/TLS renegotiation機能の脆弱性に対処したRFC) [cryptography]
ac です.
------------------
追記(4/21):
RFC5746 でググっていらっしゃる方が増えているので宣伝.
以下に詳細を書いてます.ご参考まで.
IIR vol.6 1.4.2節 SSLおよびTLSのrenegotiation機能の脆弱性を利用した中間者攻撃
http://www.iij.ad.jp/development/iir/pdf/iir_vol06.pdf
------------------
CVE-3555 に根本的に対処するRFCが今にもこぼれ落ちそうです.
http://www.rfc-editor.org/authors/rfc5746.txt
ちゃんとIANAから番号がアサインされているRFCが見えてます.インターネットドラフトの段階ではまだ値は入ってませんでした.
先日MSから発行されたセキュリティアドバイザリ
http://www.microsoft.com/japan/technet/security/advisory/977377.mspx
でもワークアラウンドな対策しか記載されていません.とても近いうちにRFCが公開されると思われます(IETF広島のときの資料では2/14死守しようぜ!おう!と書かれてましたね)が,それに対応したパッチなり製品が出てくるのがまだずっと後になりそうです.
主に2つの拡張がなされていて,あとは実装者が参照すべきふるまいに関することが列挙されています.またSSLv3(本来ならIETFで標準化されている規格ではないけど無視できなかったんでしょう)でも同様に対策が可能であることも記載されています.
このRFCの内容を簡単に紹介したドキュメントは近いうちに出ます.それもあわせてご参照頂ければと思います.取り急ぎ.
追記(2月16日):
2月13日付けで正式にRFCとして公開されてます.
確認取れてたのに,実際に反映するのが遅くなってしまった.ごめんなさい.
http://www.ietf.org/rfc/rfc5746.txt
------------------
追記(4/21):
RFC5746 でググっていらっしゃる方が増えているので宣伝.
以下に詳細を書いてます.ご参考まで.
IIR vol.6 1.4.2節 SSLおよびTLSのrenegotiation機能の脆弱性を利用した中間者攻撃
http://www.iij.ad.jp/development/iir/pdf/iir_vol06.pdf
------------------
CVE-3555 に根本的に対処するRFCが今にもこぼれ落ちそうです.
http://www.rfc-editor.org/authors/rfc5746.txt
ちゃんとIANAから番号がアサインされているRFCが見えてます.インターネットドラフトの段階ではまだ値は入ってませんでした.
先日MSから発行されたセキュリティアドバイザリ
http://www.microsoft.com/japan/technet/security/advisory/977377.mspx
でもワークアラウンドな対策しか記載されていません.とても近いうちにRFCが公開されると思われます(IETF広島のときの資料では2/14死守しようぜ!おう!と書かれてましたね)が,それに対応したパッチなり製品が出てくるのがまだずっと後になりそうです.
主に2つの拡張がなされていて,あとは実装者が参照すべきふるまいに関することが列挙されています.またSSLv3(本来ならIETFで標準化されている規格ではないけど無視できなかったんでしょう)でも同様に対策が可能であることも記載されています.
このRFCの内容を簡単に紹介したドキュメントは近いうちに出ます.それもあわせてご参照頂ければと思います.取り急ぎ.
追記(2月16日):
2月13日付けで正式にRFCとして公開されてます.
確認取れてたのに,実際に反映するのが遅くなってしまった.ごめんなさい.
http://www.ietf.org/rfc/rfc5746.txt
