2014/10/14(米国時間)に、SSL 3.0のセキュリティ脆弱性(POODLE問題)についてアナウンスされました。
CVE-2014-3566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
○本脆弱性の概要
SSL 3.0で使用されるCBC暗号アルゴリズムに問題があり、悪用された場合、攻撃者が傍受したHTTPSトラフィックから、暗号化された通信の一部(認証Cookieなど)が解読される恐れがあります。
○弊社の影響範囲
弊社のWebサーバ(https://seven.ne.jp)及び、弊社のホスティングサービスに関しましては、既にSSL 3.0は無効化しておりますので、影響はございません。
○お客様側の対応(推奨)
弊社のお客様におかれましては、ご利用されているブラウザの設定を変更し、SSL 3.0 を無効化することを推奨いたします。
・Internet Explorerの場合
インターネットオプションの詳細設定を開く。
「SSL 3.0を使用する」のチェックを外す(無効化)
「TLS 1.0」、「TLS 1.1」、「TLS 1.2」のチェックを行う(有効化)
「適用」を投下し、「OK」を投下する。
その後、すべてのInternet Explorerを終了する。
詳細の情報も併せてご参照ください。
https://technet.microsoft.com/ja-jp/library/security/3009008
・Google Chromeの場合
Googleでは、本年2月からTLS_FALLBACK_SCSVを導入しており、本件の影響はない模様です。
常に最新版を用いるように心がけてください。
他のブラウザなどに関して、ご不明な点があれば、お問合せください。