2014年10月15日

SSL 3.0の利用を推奨するサイトを調べてみた このエントリーをはてなブックマークに追加

既にイロイロなネットニュースで取り上げられているようにSSL 3.0に深刻な脆弱性「POODLE」が見つかった。

SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース
グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明 - CNET Japan
SSL 3.0に深刻なセキュリティ脆弱性 | マイナビニュース

ってことで「SSL 3.0は脆弱性(というか設計に問題)があるので使わないほうがよいんじゃないか?」とGoogleさんなどが積極的に呼びかけているようだ。
Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback

また、ブラウザ側でもSSL 3.0の利用をしないようにGoogle Chrome、Firefoxなどのブラウザで改修が進められている。
今後「サーバ側での対応とクライアント側での対応でSSL 3.0使わないようにしちゃおう」的な運動が拡大していくであろう。
ユーザ側ではInternet Explorerのインターネットオプション→詳細設定で「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックを外すようにするとよいだろう。

そんな中、日本にはまだSSL 3.0の利用を推奨するサイトが結構ある。
これはまあ今の段階では無理もないことなので今後更新されていくであろう。


北都銀行とか荘内銀行は(「SSL2.0」を利用されているお客さまは、「SSL3.0」への切り替えをお願いします。)ってアナウンスしてるのでそのうちSSL3.0もやめてねアナウンスがされるような気がしますな。

そのうち高木先生がこんな感じでまとめてくれると信じています。
高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイト

WebサーバでもSSL v3の利用をしないように設定しとかなきゃだめな気がして調べてみるとApacheとIISでは無効化する方法はこんな感じ。
■Apacheでの無効化方法
mod_sslの記述でSSLv3を無効化する
mod_ssl - Apache HTTP Server Version 2.2
■IISでの無効化方法
インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法

あと、メールもそーいや、使ってるのか。
SSL 3.0 ぜい弱性への対応メモ  Open the Next

あー、でもサーバのケアというかどっちかと言うとクライアント側の問題が大きいんだよなぁ、きっと。
能動的にSSL 3.0で繋ぎに行っちゃうのをやめればいいだけの話しかもな。
SSL 3.0で繋がらないようになるサーバが増えれば「SSL 3.0やっぱあかんやん」って話しになってSSL 3.0が衰退してそのうちなくなるとかってシナリオなんかな?(ちょっと無理があるか)

あとはクライアント側としてはブラウザの設定以外でSSL 3.0使おうとするクライアントアプリを駆逐するぐらいか?
いろいろ調べてたらJavaはヤバイという話があった。

こんな感じでいいのかな?
Java ControlPanel
メールクライアントの「POP/SMTP over SSL」とかもどうなんだろ?
同じようにSSL 3.0はダメって感じにしなきゃあかんのかな?
あとで調べるかー。

うーむ、難しい話じゃのう。
posted by りょーち | Comment(2) | TrackBack(0) | セキュリティ
この記事へのコメント
どっちかって言うとユーザー側じゃなくてサーバー側がそこら辺の設定を速急にするべきですね^^;
ううう、Macではどうjava設定すればいいんだっ!
Posted by L.E.o at 2014年10月25日 19:29
全てのサーバが設定するのを待つよりもクライアント側で注意する方が現実的な気がします。
Posted by りょーち at 2014年11月03日 21:50
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/407188002