大きければ良いってもんじゃないって事を実感しました.
今回のOpenSSLの史上最悪のセキュリティーホール対策の話です.まあ,私が運営しているサイトなんか,意図的なクラックの対象にはならないと思いますが,そのうちネットをクロールしながら,総当たり的にクラックするツールなりウィルスが発明されて,どんなサイトも攻撃対象になり得ますので,対策を取っておきました.
対策の第一は,OpenSSLのupdateです.ふだんからソースからbuildしてますので,たいした手間ではありませんでした.
そして,サーバーの秘密鍵の更新です.サーバーの秘密鍵が盗まれても何の形跡も残らない,というこで,完全を期すならば,OpenSSLのupdateのあとにこの鍵の更新をすることが推奨されています.
証明書は,私の利用しているところは有効期限が半年なので,5か月内外で更新していますが,秘密鍵そのものは滅多に作り直すものでは無くて,タイムスタンプを見たら,どのサイトのものも2006年作成でした.で,自分のメモにしたがってやってみました.
メモには,キーのサイズを4096にするとあるのですが,前にキーを作ったのは,8年も前ですから,この際8192にしてみました.
私が管理しているサイトでは,httpd(HTTPS)の他,imapd(IMAPS)とsendmail(STARTTLS)がこの秘密鍵とそれぞれの証明書を使用しています.それら3つのサービスの秘密鍵と証明書を更新してデーモンを再起動しました.
httpdに関しては何ら問題がありませんでしたが,IMAP(IMAPS)とSMTP(STARTTLS)で接続できないとか認証エラーがクライアントから出ます.
昨夜から今朝までさんざん悩んで,sendmailをソースから再ビルドしたり,SASLのパスワードを設定し直したりしてみましたが,ちっとも症状は変わりません.ふと思いついて,
sendmail error 8192
で検索したらありました.キーサイズは4096までじゃないとsendmailのSTARTTLSは正常に動作しないようです.この他,IMAPS対応のメールクライアントやデーモン,プラグインでもNGなものがあるようです.