このツールが役に立ったら、開発者にコーヒーを奢ってください ☕
指定したドメインにSSL FREAK脆弱性(CVE-2015-0204)が存在するかをチェックし、TLS/SSLセキュリティ設定のリスクを評価します。
ドメイン名またはIPアドレスを入力して診断を開始してください。
古いTLS設定により、ご自身のウェブサイトが中間者攻撃(MITM)のリスクにさらされていないか不安な場合、本ツールが迅速に回答を提供します。SSL FREAK脆弱性(CVE-2015-0204)は、SSL/TLSプロトコルの欠陥であり、攻撃者が暗号化接続を脆弱な輸出グレードのRSA鍵に強制的にダウングレードさせることを可能にします。これにより、暗号が解読され、通信データが盗まれる恐れがあります。本ツールは、入力されたドメイン(例:example.com)および指定されたポート(例:443)に対して能動的にTLSハンドシェイクを開始し、安全でないことが証明されている輸出グレードの暗号スイートを依然としてサポートしているかをチェックし、この特定の脆弱性の有無を判定して結果を出力します。
Q:「脆弱性あり」と検出された場合、具体的に何を意味しますか?
A:対象サーバーのSSL/TLS設定が、脆弱とされている輸出グレードのRSA暗号スイートをサポートしていることを意味します。CVE-2015-0204(FREAK)脆弱性の影響を受ける可能性があり、中間者攻撃によって暗号化強度がダウングレードされ、通信データが解読されるリスクがあります。サーバー側で直ちにすべての輸出グレードの暗号スイートを無効化する必要があります。
Q:SSL FREAK脆弱性はどのように修正すればよいですか?
A:サーバー上のOpenSSLなどのTLSライブラリを安全なバージョンにアップデートし、設定ファイルで「EXPORT」というキーワードを含むすべての暗号スイートを明示的に無効化してください。
本ツールはFREAK脆弱性に特化した単一のチェックのみを実行するものであり、包括的なセキュリティ監査の代わりになるものではありません。チェック結果が「OK」であっても、この特定の脆弱性が発見されなかったことを意味するだけであり、システムが絶対に安全であることを保証するものではありません。ドメインを入力する際は、パブリックに名前解決可能であることを確認してください。本ツールは入力されたドメイン情報を保存または記録しません。ロードバランサー配下のマルチIP環境では、ツールはいずれか1つのエントリIPのみをチェックする場合があります。
FREAK脆弱性は、主に米国の輸出管理規制を遵守するために歴史的に残されていた「輸出グレード」の弱い暗号化アルゴリズムを保持しているサーバーおよびクライアントに影響を与えます。現代のセキュリティプラクティスでは、TLS設定において「TLS_RSA_EXPORT_WITH_RC4_40_MD5」などの暗号スイートを完全に無効化する必要があります。典型的なチェック例として、「example.com」とポート「443」を入力し、結果の「安全」ステータスが「OK」ではなく、「CVE」フィールドに「CVE-2015-0204」と表示された場合、脆弱性が存在することが確認されます。本ツールを定期的なセキュリティコンプライアンスチェックの一環として活用し、特にサーバーソフトウェアや設定の更新後に検証を実行することをお勧めします。
