FREAK (Factoring attack on RSA-EXPORT Keys) と呼ばれる脆弱性対策のため、OpenSSL のアップデートに加えて Apache 側で SSLCipherSuite の設定変更が必要です。
この機会に、SSL Server Test を参考に 128bit 未満の暗号強度を停止し、アルゴリズムを絞ることにしました。
#// 旧
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP
#// 新
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!ADH:!EXPORT:!DES:!RC4:!MD5
ALL を HIGH と変更しても差し支えがないと思われます。
#// 旧 # openssl ciphers -v 'ALL:\!ADH:\!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP' #// 新 # openssl ciphers -v 'ALL:\!ADH:\!EXPORT:\!DES:\!RC4:\!MD5'
万が一閲覧に支障を来す場合は、新旧それぞれの場合で openssl ciphers を実行して差分を照合することで、過不足を確認すれば良いでしょう。
