暗号化方式「SSL3.0」脆弱性に伴い、ブラウザの設定内容をご確認ください!

SSL3.0脆弱性について、投稿し忘れたので、遅れながら記事にしたい。今回の脆弱性とは、「SSL」といった、インターネット通信するにあたって、データがばれないようにスクランブルして送る=暗号化が破られるかもしれない、といった問題だ。これを外しても、進化した暗号化技術、TLSを有効にすれば、セキュリティは維持されるため、この作業は必ず実施してください。

また、自動化プログラム(Fix it)が公開されているので、「Internet Explorer で SSL 3.0 を無効にする」というプログラムを適用すれば、安心だ。

詳細については、下記参考を参考ください。

(参考)
更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)(IPA)
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃):JVNVU#98283300(JVN)
SSL 3.0 の脆弱性により、情報漏えいが起こる(マイクロソフト)
[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2(日本のセキュリティチーム)
SSL 3.0 の脆弱性「POODLE 」とは?(トレンドマイクロ)
SSL3.0の脆弱性「POODLE」の個人的メモ(独房の中)
Chrome、SSL 3.0 やめるってよ(セキュリティホールmemo)
代表的なブラウザでSSL3.0を使わないよう設定する(digicert)

設定編

■Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする
 Internet Explorer の詳細設定のセキュリティを変更することにより、SSL 3.0 プロトコルを無効にすることができます。
自動設定をしてもらえる「Fix it」が公開されました。Windows 8 / 8.1でも対応しています。Fix itから「無効にする」を選択すればいい。
HTTPS リクエストに使用される既定のプロトコルのバージョンを変更するためには、次のステップを行います。

  1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
  2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
  3. [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
  4. 注:連続するバージョンを確認するのが重要です。
    連続するバージョンを選択しないと (例: TLS 1.0 および TLS 1.2 を選択し、TLS 1.1 を選択しないなど)、接続エラーが起こる可能性があります。
  5. [OK] をクリックします。
  6. 終了し、Internet Explorer を再起動します。