IEでSSL3.0を無効にする方法 POODLEの対策を!CVE-2014-3566

※この記事にはプロモーションが含まれています。

SSL3.0の脆弱性「POODLE」CVE-2014-3566 が見つかった。IEでのSSL3.0を無効にする方法を確認しましょう。

SSL3.0の脆弱性とは?

Googleのエンジニアが発見したSSL 3.0の脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryption)

これを悪用するとパスワードやクッキーにアクセスできてしまうというもの。

SSL 3.0とは15年前の古いバージョンのプロトコルですが、いまだにこのバージョンを使っているWebサイトやサポートしているWebブラウザは多い状況です。

この「POODLE」の脆弱性を悪用すると、パスワードやクッキーにアクセスすることが出来るといい、ユーザーの個人情報を盗めるようになってしまいます。

対処方法としてはSSL3.0を有効としている場合は、SSL3.0を無効化することで対処します。
さらにTLS1.2を有効化しておくことを合わせて推奨されています。

こうすれば、ブラウザが3.0をサポートしていても、SSL3.0では接続が出来なくなります。

なお、これを受けて、MozillaはFirefox 34でSSL 3.0のサポートを無効にすると発表しているようです。

SSLサーバ証明書の問題?

このSSL3.0やTLS1.2などはプロトコルの一つで、SSLサーバ証明書に紐づいたものではありません。

サーバやブラウザなどがどのようなプロトコルをサポートしているかがポイントとなるので、SSLサーバ証明書を切り替えたり、再発行したりしても何も変わりません。

しなければならないのは、サーバやクライアントアプリケーションのサポートするプロトコルの設定変更です。

恥ずかしいので、間違っても認証局にSSLサーバ証明書の問題では?なんて聞かないようにしましょう。

Internet Explorerの設定はどうなってる?

で、いまだ圧倒的シェアを誇るInternet Explorer (IE)です。

こいつがなかなかくせ者で、いまだSSL3.0が有効状態がデフォルトです。

サーバ管理者側がSSL3.0を切ってしまえば問題ないですが、有効なままの場合は、SSL3.0のプロトコルを使ってSSL通信を行う可能性があります。

そのようなことがないようにIEの設定で、SSL3.0を切ってしまいましょう。

SSL3.0を切る方法

それではIEでSSL3.0を切る方法です。
ものすごく簡単であっという間に完了します。

1、IEを起動してメニューのツールからインターネットオプションを選択します。

2、詳細設定タブをクリックします。

3、セキュリティの「SSL3.0を使用する」からチェックを外します。

4、念のためブラウザを再起動します。

はい、これだけです。

Webサーバの管理者がSSL3.0を切ってくれていればこんな設定変更はしなくてよいですが、こればっかりは分かりませんので、個々に対処しておけば確実ですね。

 

関連サイト

FirefoxでSSL3.0を無効にする方法

WebサーバでSSL3.0を無効化する方法

コメント