SSL3.0の脆弱性「POODLE」CVE-2014-3566 が見つかった。IEでのSSL3.0を無効にする方法を確認しましょう。
SSL3.0の脆弱性とは?
Googleのエンジニアが発見したSSL 3.0の脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryption)
これを悪用するとパスワードやクッキーにアクセスできてしまうというもの。
SSL 3.0とは15年前の古いバージョンのプロトコルですが、いまだにこのバージョンを使っているWebサイトやサポートしているWebブラウザは多い状況です。
この「POODLE」の脆弱性を悪用すると、パスワードやクッキーにアクセスすることが出来るといい、ユーザーの個人情報を盗めるようになってしまいます。
対処方法としてはSSL3.0を有効としている場合は、SSL3.0を無効化することで対処します。
さらにTLS1.2を有効化しておくことを合わせて推奨されています。
こうすれば、ブラウザが3.0をサポートしていても、SSL3.0では接続が出来なくなります。
なお、これを受けて、MozillaはFirefox 34でSSL 3.0のサポートを無効にすると発表しているようです。
SSLサーバ証明書の問題?
このSSL3.0やTLS1.2などはプロトコルの一つで、SSLサーバ証明書に紐づいたものではありません。
サーバやブラウザなどがどのようなプロトコルをサポートしているかがポイントとなるので、SSLサーバ証明書を切り替えたり、再発行したりしても何も変わりません。
しなければならないのは、サーバやクライアントアプリケーションのサポートするプロトコルの設定変更です。
恥ずかしいので、間違っても認証局にSSLサーバ証明書の問題では?なんて聞かないようにしましょう。
Internet Explorerの設定はどうなってる?
で、いまだ圧倒的シェアを誇るInternet Explorer (IE)です。
こいつがなかなかくせ者で、いまだSSL3.0が有効状態がデフォルトです。
サーバ管理者側がSSL3.0を切ってしまえば問題ないですが、有効なままの場合は、SSL3.0のプロトコルを使ってSSL通信を行う可能性があります。
そのようなことがないようにIEの設定で、SSL3.0を切ってしまいましょう。
SSL3.0を切る方法
それではIEでSSL3.0を切る方法です。
ものすごく簡単であっという間に完了します。
1、IEを起動してメニューのツールからインターネットオプションを選択します。
2、詳細設定タブをクリックします。
3、セキュリティの「SSL3.0を使用する」からチェックを外します。
4、念のためブラウザを再起動します。
はい、これだけです。
Webサーバの管理者がSSL3.0を切ってくれていればこんな設定変更はしなくてよいですが、こればっかりは分かりませんので、個々に対処しておけば確実ですね。
関連サイト
コメント