希望の党の公式サイトに脆弱性。SSLv3を無効にした方が良い

希望の党公式サイトがオープン

昨日10月3日に希望の党の公式サイトがオープンしました。カゴヤのレンタルサーバーにApache + PHP5.6.6構成で構築されているようです。HTTPS化されており、GMOグルーバルサインの証明書が使われています。

f:id:netcraft3:20171004030139p:plain

希望の党公式サイトの脆弱性

希望の党公式サイトを見ていて気づいたのですが、SSLv3が有効になっているようです。

SSLv3は1995年にできたプロトコルで、POODLEなどの致命的な脆弱性が発見されており、オラクルパディング攻撃ができてしまいます。簡単に言うと通信内容を盗み見したり中間者攻撃ができるようになります。RFC7568ではSSLv3の使用を停止するよう呼びかけられています。

hyper-text.org

www.excite.co.jp

希望の党の公式サイトでは、下記のコマンド結果のようにSSLv3でのネゴシエーションを確立することができてしまいました。

$ openssl s_client -connect kibounotou.jp:443 -ssl3

CONNECTED(00000003)
depth=1 /C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=www.kibounotou.jp
   i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
 1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIG3jCCBcagAwIBAgIMGZZ6NXqn+snyR7AaMA0GCSqGSIb3DQEBCwUAMEwxCzAJ
BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSIwIAYDVQQDExlB
（中略）
VW77vlqWRXm/zoCUWAAEIR/Q3LKiYUoQuCbfYz6JEEzqRYiFY01DPgPuhz7Db/CS
leLePHOR0vtY4208e3oXeqB5wBbWY4V32jX8oD2WvtL6QObZOrAJpPLWH7L3DEzJ
l4F8Ez7sapwk+3FWUfDe59VgNDY1L3ti6yIWi3fRykJszA==
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=www.kibounotou.jp
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
---
No client certificate CA names sent
---
SSL handshake has read 3841 bytes and written 436 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 8D99E3FE101203AF530F091A83E175DCBE84DF8BA0C5F21C8BEFF1B58C80B432
    Session-ID-ctx:
    Master-Key: 853F8036900BC911021DDB53F3B3BBBD19CCC1CBBFD2167B9347B64777FF7C3C229F36DDAEA960BFC60B1FA34A45E47A
    Key-Arg   : None
    Start Time: 1507053234
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

希望の党がやるべきこと

SSLv3を無効にしてTLS通信のみにした方が良いです。Apacheのconfファイルに以下を追加してリロードしましょう。

SSLProtocol all -SSLv2 -SSLv3

これで脆弱性対応ができます。って、この内容を希望の党のWebサイト担当の人に伝えた方が良いのかな。

追記

希望の党の公式Twitterアカウントに連絡してみました。

貴党の公式サイトに脆弱性があるのを発見いたしました。詳細および解決法を↓に書いております。政治的スタンスは異なりますが、日本の将来のために貴党の活躍を願っております。脆弱性につきましてご検討頂ければと思います。https://t.co/ceGwYT63mH
— 齊藤貴義＠サイバーメガネ (@miraihack) 2017年10月3日

Netcraftのセキュリティリスクランキングでも、希望の党の公式サイトは10段階評価中の9で非常に高いです。

f:id:netcraft3:20171004105514p:plain

SSLv3サポートが有効になっていることが赤く警告されています。

f:id:netcraft3:20171004123518p:plain

さらに追記

希望の党側で対策されたようです！SSLv3のネゴシエーションを試みても失敗するようになりました。中の人、GJです。

% openssl s_client -connect kibounotou.jp:443 -ssl3
CONNECTED(00000003)
82146:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/ssl/s3_pkt.c:1145:SSL alert number 40
82146:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/ssl/s3_pkt.c:566: