希望の党公式サイトがオープン

昨日10月3日に希望の党の公式サイトがオープンしました。カゴヤのレンタルサーバーにApache + PHP5.6.6構成で構築されているようです。HTTPS化されており、GMOグルーバルサインの証明書が使われています。

kibounotou.jp

希望の党公式サイトの脆弱性

希望の党公式サイトを見ていて気づいたのですが、SSLv3が有効になっているようです。SSLv3は1995年にできたプロトコルで、POODLEなどの致命的な脆弱性が発見されており、オラクルパディング攻撃ができてしまいます。簡単に言うと通信内容を盗み見したり中間者攻撃ができるようになります。RFC7568ではSSLv3の使用を停止するよう呼びかけられています。

希望の党の公式サイトでは、下記のようにSSLv3でのネゴシエーションを確立することができてしまいました。

$ openssl s_client -connect kibounotou.jp:443 -ssl3

CONNECTED(00000003)
depth=1 /C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=www.kibounotou.jp
   i:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
 1 s:/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/CN=www.kibounotou.jp
issuer=/C=BE/O=GlobalSign nv-sa/CN=AlphaSSL CA - SHA256 - G2
---
No client certificate CA names sent
---
SSL handshake has read 3841 bytes and written 436 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 8D99E3FE101203AF530F091A83E175DCBE84DF8BA0C5F21C8BEFF1B58C80B432
    Session-ID-ctx:
    Master-Key: 853F8036900BC911021DDB53F3B3BBBD19CCC1CBBFD2167B9347B64777FF7C3C229F36DDAEA960BFC60B1FA34A45E47A
    Key-Arg   : None
    Start Time: 1507053234
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

希望の党がやるべきこと

SSLv3を無効にしてTLS通信のみにした方が良いです。Apacheのconfファイルに以下を追加してリロードしましょう。

SSLProtocol all -SSLv2 -SSLv3

これで脆弱性対応ができます。って、この内容を希望の党のWebサイト担当の人に伝えた方が良いのかな。

追記

希望の党の公式Twitterアカウントに連絡してみました。