ここのところ，セキュリティに関する脆弱性のニュースが多い気がします。今回は，SSL接続時に利用するTLSというプロトコルに関する脆弱性のニュースです。ブラウザを最新版に更新して対策しましょう。

このサイトで，Logjam Attackの脆弱性を確認することができます。
https://weakdh.org

私のMacBook Pro & Safari 8.0.6 (10600.6.3)で試してみたところ，見事にWarningが出てしまいました。一方，Windows 8.1 Update & IE11(11.0.9600.17801)で試してみたところ問題なしでした。

この手のセキュリティに対する対策のスピードはMicrosoftが早いですね。

Logjamはどのような脆弱性なのか，簡単にまとめてみました。

• SSL通信で，TLSプロトコルでは鍵交換にDiffie-Hellman(DH)鍵交換を利用します。
• この脆弱性があると，攻撃者がこの鍵交換の途中に割り込み，TLS接続の鍵長を512bitにダウングレードすることができます。
• 512bitの鍵長は簡単に解読できるくらいの強度しかありません。これにより，攻撃者は通信内容を傍受することが可能になります。

　Logjamはサーバ／クライアント双方で対策することができます。
○サーバ側：
512bitのDH鍵交換をサポートしている「DHE_EXPORT」を無効にする。
○クライアント側：
ブラウザの最新パッチを適用する。

　Logjamの研究チームが公表した資料のリンク（英語）です。