最初は指定されていたように、SSLプロトコルとTLSプロトコルのすべてのバージョン(TLS/1.2を含めて、これまで)は、ネゴシエーション中の中間者攻撃(CVE-2009-3555)に対して脆弱でした。この脆弱性によって、攻撃者は、Webサーバーで表示される任意の平文をHTTPリクエストの前に付け加えることができます。クライアントとサーバーの両方でサポートされている場合は、この脆弱性を修正するプロトコルの拡張が開発されています。
中間者攻撃(CVE-2009-3555)の詳細は、次を参照してください。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555
デフォルト・モード
ディレクティブSSLInsecureRenegotionが構成に指定されていない場合、Oracle HTTP Serverは互換モードで動作します。
このモードでは、Renegotiation Info/Signaling Cipher Suite Value (RI/SCSV)をサポートしない脆弱なピアとの接続が可能になりますが、再ネゴシエーションはRI/SCSVをサポートしているピアとのみ許可されます。
SSLInsecureRenegotiation ON
このオプションでは、再ネゴシエーションを実行するRI/SCSVのない脆弱なピアを許可します。したがって、このオプションはCVE-2009-3555で説明している再ネゴシエーション攻撃に対してサーバーを脆弱なままにするため、注意して使用する必要があります。
SSLInsecureRenegotiation OFF
このオプションが使用されると、RI/SCSVをサポートするピアのみがセッションとネゴシエーションおよび再ネゴシエーションできます。これが最もセキュアな推奨されるモードです。
カテゴリ | 値 |
---|---|
構文 |
SSLInsecureRenegotiation ON | OFF |
例 |
SSLInsecureRenegotiation ON |
デフォルト |
デフォルト値は、 |
SSLInsecureRenegotiationを構成するには、ssl.confファイルを編集して、SSLInsecureRenegotiation
ON
/OFF
をグローバルまたは仮想的に設定し、セキュアでない再ネゴシエーションを有効(または無効)に設定します。