DHE/ECDHE 鍵交換方式の使用
デフォルトでは、BigFix 10.0 パッチ 1 コンポーネントは、SSL 通信の反対側の BigFix コンポーネントのバージョンで DHE/ECDHE 鍵交換方式が許可されている場合に、この方式を使用します。
すべての SSL 通信で DHE/ECDHE を使用するには、すべての BigFix コンポーネントが以下のいずれかのバージョンである必要があります。
- バージョン 10.0 パッチ 1 以上
- バージョン 9.5 パッチ 16 以上
その他の考慮事項
- BigFix HTTPS サーバーは、認証と鍵交換の両方に RSA を使用します。
- BigFix 10.0 パッチ 1 により、鍵交換に一時的な Diffie-Hellman (DHE) および一時的な楕円曲線 Diffie-Hellman (ECDHE) を使用できます (認証には RSA)。
- 「一時」は、TLS 接続ごとに、永続ストレージに書き込まれることがない新しいランダムな非対称鍵が選択されることを意味します。
- TLS 接続が終了すると、鍵は安全に消去されます。
- したがって、RSA 秘密鍵が漏えいしたとしても、その鍵を使用して、記録された TLS セッションを復号化することはできません。
- BigFix コンソール・パスワード、REST API パスワード、Web レポート・パスワード、セッション・トークンなど、それらの TLS セッションで交換されたシークレットは、RSA 秘密鍵が漏えいしても漏えいしません。
- プロトコルを特定するために、Nmap ユーティリティーを使用できます。呼び出し例を次に示します。
nmap -p 8083 --script ssl-cert,ssl-enum-ciphers <address>