Linuxサーバより愛を込めて。

Linux(Ubuntu)サーバとダーツを愛する中年サラリーマンの日記。

Linuxサーバ

OpenSSLのバグ

当サイトとサーバは現在のところSSLを導入していません。

 

今のところそこまでのセキュリティ強度を必要とするサービスを展開していないことがもっとも大きな原因なのですが、今後の展開によっては導入する必要もあるとは考えてきました。

 

もっともSSL証明書を取得するに当たって有名な認証局を通して作業するとなると結構馬鹿にならない金額が発生してしまいます。これも必要に迫られるまで導入を見送ろうと考えてきた原因の一つではあります。

 

と、そんなときニュースでとんでもない情報が・・・

 

「OpenSSLにバグ、秘密鍵やパスワード流出の危機」

 

HeartBleed(心臓出血)と名づけられたこのバグ、2011年に作成されたパッチで混入してしまったようで、そのまま今まで誰も気付かず(クラッカーは気付いていたのかな?)今年4月に発覚するまで放置されてしまったというのが真相のようです。

 

OpenSSLはhttpsやFtpsなど高いレベルのセキュリティを要する際に用いられるSSL(Secure Sockets Layer)を実装するためのプロトコルの一つであり、オープンソースであることも相まって多くのサーバで取り入れられているといいます。

 

実際自分も導入するならOpenSSLのつもりでした。

 

こうしたソフトウェアの開発ってこういう怖さがあるんですねぇ。。。

 

悪意があって作成されたわけではないようですし、それどころかオープンソースであるコイツを少しでも良くしようと作成されたパッチが結果としてこのような形になってしまったというのは作成者の方にとっては痛恨の極みだと思います。

 

が、自分のように知識の浅い人間でもこうしてサーバを公開できているのはこうした先人の方々の努力の賜物であることは忘れることのできない事実です。

 

こうしたときに自分のような末端の人間にできることは、改善されたバージョンを導入するなり新しいパッチを充てるなりして自分のサーバのセキュリティを少しでも高めるようにする以外ないと思います。

 

ブログの更新をする時間はとれなくても、少なくとも一日一回はアップデートの更新を確認して導入するぐらいの時間は取れます。未熟なサーバ管理者ではありますが、自分にできることだけでもきっちりやっていきたいと改めて実感したのでした。

オススメの記事

-Linuxサーバ
-