SSL

SSL3.0脆弱性の影響について

2014/10/14(米国時間)に、SSL 3.0のセキュリティ脆弱性(POODLE問題)についてアナウンスされました。
 

CVE-2014-3566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
 

○本脆弱性の概要
SSL 3.0で使用されるCBC暗号アルゴリズムに問題があり、悪用された場合、攻撃者が傍受したHTTPSトラフィックから、暗号化された通信の一部(認証Cookieなど)が解読される恐れがあります。
 

○弊社の影響範囲
弊社のWebサーバ(https://seven.ne.jp)及び、弊社のホスティングサービスに関しましては、既にSSL 3.0は無効化しておりますので、影響はございません。
 

○お客様側の対応(推奨)
弊社のお客様におかれましては、ご利用されているブラウザの設定を変更し、SSL 3.0 を無効化することを推奨いたします。
 

・Internet Explorerの場合
インターネットオプションの詳細設定を開く。
「SSL 3.0を使用する」のチェックを外す(無効化)
「TLS 1.0」、「TLS 1.1」、「TLS 1.2」のチェックを行う(有効化)
「適用」を投下し、「OK」を投下する。
その後、すべてのInternet Explorerを終了する。

詳細の情報も併せてご参照ください。
https://technet.microsoft.com/ja-jp/library/security/3009008
 

・Google Chromeの場合
Googleでは、本年2月からTLS_FALLBACK_SCSVを導入しており、本件の影響はない模様です。
常に最新版を用いるように心がけてください。
 

他のブラウザなどに関して、ご不明な点があれば、お問合せください。