- セクティゴ・コモドSSLトップ
- >ニュースリリース
ニュースリリース
セクティゴジャパン(旧コモドジャパン)からのお知らせ
OpenSSL の脆弱性対策に関する重要なお知らせ及び確認ツールのご提供
お客様各位
平素はコモドSSLをご利用くださいまして、誠にありがとうございます。
OpenSSL の脆弱性に関し、下の内容をご確認のうえ、適宜ご対応くださいますようお願い申し上げます。
脆弱性が認められたバージョンの OpenSSL を使用している全てのお客様は修正バージョンへアップデートまたは修正パッチの適用が必要となります。
本件の、【 Heartbleed 】と呼ばれる脆弱性については、お客様が利用するサーバ上のソフトウェア「 OpenSSL 」 の問題であり、コモドが発行する証明書や認証基盤、または秘密鍵の問題ではございません。
該当するバージョンをご利用のお客様は、アップデート後、証明書の入れ替えを推奨いたします。証明書の再発行にかかる費用につきましては、無料にて対応いたします。
コモドではお客様サイドの視点に立ち、ご購入者様、パートナー様をはじめ、各種プラットフォームベンダ、サービスプロバイダ様が修正パッチを適用されたことを確認していただける専用ツールをご用意しております。
■【 Heartbleed 】と呼ばれる脆弱性について
2014年4月7日(木)【 Heartbleed 】と呼ばれるOpenSSLソフトウェア上の深刻な脆弱性が研究者チームにより公開されました。
この【 Heartbleed 】と呼ばれる脆弱性は【 該当するバージョンのOpenSSLを使用している場合 】攻撃者がサーバ管理者に気づかれることなく、通信情報やSSLの秘密鍵等を盗み取ることが可能になっておりました。
OpenSSL というソフトウェアは、とても広く知られる暗号化ソフトウェアライブラリです。SSL/TLS通信において多くのソフトウェアアプリケーションで使用されています。
本脆弱性に関する技術的な詳細は以下のURLで公開されていますので、ご参照ください。
http://heartbleed.com/
■ 該当する OpenSSL バージョン
OpenSSL 1.0.1 ~ 1.0.1f (inclusive)
OpenSSL 1.0.2-beta ~ 1.0.2-beta1
以下のバージョンは影響を受けません。
0.9.8 ( entire branch ) 1.0.0 ( entire branch ) 1.0.1g( バグ修正済バージョン 2014年4月7日発表 )
■ 対応方法
脆弱性に該当するバージョンの OpenSS をご利用の場合は、修正パッチを適用する。もしくは、ソフトウェア自体をアップデートしてください。
OpenSSL ではすでに修正パッチが公開されております。
多くのソフトウェアベンダもアップデートを順次実施しているようです。
まずはご利用のソフトウェアベンダに連絡のうえ詳細情報をご確認ください。
新しい証明書をストアする前に必ずサーバのソフトウェアが脆弱性パッチを適用しているかどうかを確認して下さい。※もしバグフィックスされていない状態で証明書を入れ替えてもリスクは存在し続けるので意味がありません。秘密鍵およびCSRは必ず再作成してください。
■ 対象バージョンの確認方法
コモドではお客様が運用されている、OpenSSL のバージョンを確認するサイトを新設しました。 下記サイトにて、コモンネームやグローバルIPアドレスを入力することで、脆弱性が解消されているかを確認することができます。
確認ツールURL
https://sslanalyzer.comodoca.com/
左側【 Heartbeat 】に出力されるデータをご確認ください。※Immune=影響を受けない ※INSECURE=対策が必要
<脆弱性のあるバージョンで修正パッチが適用されていない場合>
Vulnerable to Hearbleed attack INSECURE
<脆弱性のないバージョンの場合>
Heartbeat Not Supported Immune to Heartbleed attack
<脆弱性のあるバージョンで修正パッチを適用済みの場合>
Heartbeat Supported Immune to Heartbleed attack
【 Heartbleed 】の脆弱性を利用し情報が悪用される可能性が存在する以上、該当バージョンの OpenSSL をご利用のお客様につきましては、速やかに証明書の入れ替えを強く推奨いたします。(入れ替え後の証明書は失効されます。)
コモドでは通常の運用におきましても、お客様のご都合による証明書の再発行は無料で対応しております。本件につきましても、無料で再発行を行いますので、どうぞご安心ください。
再発行のご依頼はメールにて承っております。会員登録済みのご担当者メールアドレスより、下記内容をお書き添えのうえ、ご連絡をお願いします。
なお、ご注文の混同を避けるため、ご依頼は対象コモンネーム1件につき1通ずつご依頼ください。
送付先…order@jp.comodo.com または info@jp.comodo.com
件 名…SSL証明書再発行依頼 注文番号:XXXXXX
本 文…
-------------------------------------------------------------------------
・注文番号
・コモンネーム
・新しいCSRキー
・認証方法を変更する場合はご希望の方法やメールアドレスをお知らせください
(参考URL http://comodo.jp/support/dtl_48)
-------------------------------------------------------------------------
■ 参考URL
http://heartbleed.com/
https://www.openssl.org/news/secadv_20140407.txt
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
コモドは自社内で運用している全てのウェブサイトについて、パッチが適用済であること、証明書が入れ替え済であることを確認しております。
ご不明な点がございましたら、インフォメーションまでお問い合わせください。
2014.04.10