Renegotiating TLS について

SSL/TLS の再ネゴシエーション処理にプロトコル上の欠陥があり， HTTPS において Man-In-The-Middle 攻撃（ぶっちゃけて言えばなりすましのこと）を受ける可能性があるらしい。

• Renegotiating TLS
• TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに

これに対して OpenSSL は新しいバージョン 0.9.8l をリリースした。

• OpenSSL version 0.9.8l released
• TLS／SSLに中間者攻撃の脆弱性、OpenSSL更新版が公開

ただしこのバージョンは今回の脆弱性を修正したものではなく， 再ネゴシエーション機能を丸ごと削除したものらしい。 今後については既にドラフト案も挙がっているが， 今回の脆弱性はプロトコルに関わる部分なので最終的に修正されるのはちょっと時間がかかりそうな感じ。

• Transport Layer Security (TLS) Renegotiation Indication Extension draft-rescorla-tls-renegotiation-00.txt

SSL/TLS についてはしばらく注意していたほうがいいかもしれない。