Chrome で Logjam Attack 対策する

セキュリティ対策しなきゃ

Chrome の Logjam Attack 対策に関してはしばらく放置プレイ状態だったのですが、先ほど海外のフォーラムでやり取りされている方法を試してみたところ、上手くいったっぽいので手順を書いておきます。

はじめに

Chrome の Logjam Attack 対策ってまだ出てませんよね? ( 2015/6/16 現在 )

昼休みに海外のフォーラムでやり取りされていた対応策を試してみたところ、対策できたようなので手順を書いておきます。

参考 : Chrome logjam quick fix | Qualys Community:

写真 : 写真素材ぱくたそ

手順

上記参考サイトでは、色々深いやり取りがされているので、興味がある方はご覧ください。

ポイントだけ

Google Chrome では

--cipher-suite-blacklist

オプションを起動オプションに指定する事で、特定の cipher-suite を無効にできるようです。

上記フォーラムでは、 「DHE を無効にする場合 --cipher-suite-blacklist=0xcc15,0x009e,0x0039,0x0033 を指定すればOK ( win7 システムの場合 )」という投稿があるので、これに従って設定してみます。

コマンドラインオプションの指定

SSLv3 の脆弱性 POODLE への対策を行う に書いた方法と同様に Chrome のショートカットに --cipher-suite-blacklist=.... 設定を追記します。

※下図では POODLE対策記事の画像を流用しているので --ssl-version-min=tls1 になっています。実際には --cipher-suite-blacklist=0xcc15,0x009e,0x0039,0x0033 を設定して下さい。

chrome sslv3 設定

確認

Logjam Attack 対策を行う の "対策(クライアント側)" に書いた方法で Logjam Attack 脆弱性チェックを行います。

The Logjam Attack にアクセスした際に、以下のように表示されればOKです。

Logjam Attack safe

ちなみに

  • 0xcc15 : TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • 0x009e : TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • 0x0039 : TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • 0x0033 : TLS_DHE_RSA_WITH_AES_128_CBC_SHA

のようです。

まとめ

Google Chrome のオプションにこんなのあったのか!って感じですね。

今後も cipher suite 絡みの脆弱性が発生した際にお世話になりそうな気もするので、--cipher-suite-blacklist オプションは覚えておいた方がいいかもしれません。