SSL3.0脆弱性について、投稿し忘れたので、遅れながら記事にしたい。今回の脆弱性とは、「SSL」といった、インターネット通信するにあたって、データがばれないようにスクランブルして送る=暗号化が破られるかもしれない、といった問題だ。これを外しても、進化した暗号化技術、TLSを有効にすれば、セキュリティは維持されるため、この作業は必ず実施してください。
また、自動化プログラム(Fix it)が公開されているので、「Internet Explorer で SSL 3.0 を無効にする」というプログラムを適用すれば、安心だ。
詳細については、下記参考を参考ください。
(参考)
●更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566)(IPA)
●SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃):JVNVU#98283300(JVN)
●SSL 3.0 の脆弱性により、情報漏えいが起こる(マイクロソフト)
●[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2(日本のセキュリティチーム)
●SSL 3.0 の脆弱性「POODLE 」とは?(トレンドマイクロ)
●SSL3.0の脆弱性「POODLE」の個人的メモ(独房の中)
●Chrome、SSL 3.0 やめるってよ(セキュリティホールmemo)
●代表的なブラウザでSSL3.0を使わないよう設定する(digicert)
設定編
■Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする
Internet Explorer の詳細設定のセキュリティを変更することにより、SSL 3.0 プロトコルを無効にすることができます。
※自動設定をしてもらえる「Fix it」が公開されました。Windows 8 / 8.1でも対応しています。Fix itから「無効にする」を選択すればいい。
HTTPS リクエストに使用される既定のプロトコルのバージョンを変更するためには、次のステップを行います。
- Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
- [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
- [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
- 注:連続するバージョンを確認するのが重要です。
連続するバージョンを選択しないと (例: TLS 1.0 および TLS 1.2 を選択し、TLS 1.1 を選択しないなど)、接続エラーが起こる可能性があります。 - [OK] をクリックします。
- 終了し、Internet Explorer を再起動します。
