Too Big To Fail

大きければ良いってもんじゃないって事を実感しました.

今回のOpenSSLの史上最悪のセキュリティーホール対策の話です.まあ,私が運営しているサイトなんか,意図的なクラックの対象にはならないと思いますが,そのうちネットをクロールしながら,総当たり的にクラックするツールなりウィルスが発明されて,どんなサイトも攻撃対象になり得ますので,対策を取っておきました.

対策の第一は,OpenSSLのupdateです.ふだんからソースからbuildしてますので,たいした手間ではありませんでした.

そして,サーバーの秘密鍵の更新です.サーバーの秘密鍵が盗まれても何の形跡も残らない,というこで,完全を期すならば,OpenSSLのupdateのあとにこの鍵の更新をすることが推奨されています.

証明書は,私の利用しているところは有効期限が半年なので,5か月内外で更新していますが,秘密鍵そのものは滅多に作り直すものでは無くて,タイムスタンプを見たら,どのサイトのものも2006年作成でした.で,自分のメモにしたがってやってみました.

メモには,キーのサイズを4096にするとあるのですが,前にキーを作ったのは,8年も前ですから,この際8192にしてみました.

私が管理しているサイトでは,httpd(HTTPS)の他,imapd(IMAPS)とsendmail(STARTTLS)がこの秘密鍵とそれぞれの証明書を使用しています.それら3つのサービスの秘密鍵と証明書を更新してデーモンを再起動しました.

httpdに関しては何ら問題がありませんでしたが,IMAP(IMAPS)とSMTP(STARTTLS)で接続できないとか認証エラーがクライアントから出ます.

昨夜から今朝までさんざん悩んで,sendmailをソースから再ビルドしたり,SASLのパスワードを設定し直したりしてみましたが,ちっとも症状は変わりません.ふと思いついて,

sendmail error 8192

で検索したらありました.キーサイズは4096までじゃないとsendmailのSTARTTLSは正常に動作しないようです.この他,IMAPS対応のメールクライアントやデーモン,プラグインでもNGなものがあるようです.

Heartbleed
ただし,HTTPSは正常に機能していましたが,DAVは動かなくなっていました.