OpenSSLの脆弱性がアップデートで修正された！我々がすべきことは？

2016/09/23

今や殆ど全てのwebServiceが、このQpenSSLで暗号化されていると言っても過言ではないという時代になってきました。
レンタルサーバなど、無料〜安価で提供されている殆どのSSLが、このOpenSSLを使用しているわけですが、昨年のHeartbleedなどの脆弱性により、本当に安全なのか？と疑問を感じる方も多いかと思います。
実際に、レンタルサーバでの共有SSLは何もSSLを使っていないより危険であるだとか、脆弱性に付け込まれてると殆ど暗号化の意味がないだとかの記事もネットでバズっていました。

さて、今回そのSSLがアップデートされて、DoS攻撃（他人のサーバーを乗っ取って他のサーバーの攻撃に参加させる）などへの対策が盛り込まれたり、合計14もの脆弱性（弱点）が修正されました。
さらに、少し古いバージョンのSSL(v1.0.1系) は、今年いっぱいでサポートが終了します。

そこで気になるのは、「え、じゃあ私は何をしなきゃいけないの…？」という事だと思います！

ずばり、何もしなくていい！

そうです、今回の修正やアップデートは、サーバ側で行われている事なので、ユーザーは特にしなければならないことはありません。
大抵のちゃんとしたwebサイト用のレンタルサーバは今年中に新しいバージョンのSSLを採用すると思います。

もし出来ることがあるとすれば、そして不安な事があるとすれば、サーバー業者から「SSLのアップデートのお知らせ」がちゃんと届くかどうかを見守ることくらいだと思います。

逆に、自分でVPSや専用サーバを借りて運用している方は、ちゃんと自分でアップデートしないといけません。
が、そういう人は多分やり方は解っていますよね…？

一応書いておくと、sshで繋いで、yumやらapt-getやらでバージョンを確認→yumやapt-getをupdate→
yum update openssl-* か
apt-get update openssl
です。sudoを忘れないでください！あと、opensslにパッケージ名やバージョンの指定が必要な場合があるかも知れません。(コマンドはOSによると思います)