タグ: SSL3.0

SSL3.0の脆弱性発覚で運営側続々と対応

SSL3.0という通信プロトコルに深刻な不具合が発覚した為、サーバー運営側や、ユーザー側にも対応が推奨されてきています。

では本題です

SSL3.0の脆弱性対応や廃止が続々と発表されていますが、深刻な不具合とはいえ、相当複雑な条件下で発生するらしいので対応する事は推奨されますが、今の所あせる必要はなさそうです。

登場からほぼ18年で幕をおろすSSL3.0

元々、前の規格SSL2.0に脆弱性があった為、互換として発表されたものだったのですが、ほぼ18年で幕をおろす事になりました。

年数の訂正ほぼ15年で幕をおろす事になりましたGoogle Online Security Blogより、年数の訂正を致しました。

[Updated Oct 15 to note that SSL 3.0 is nearly 18 years old, not nearly 15 years old.] SSL3.0はほぼ15歳ではなく、ほぼ18歳であることに注意することを10月15日に更新いたしました。

Web翻訳の為、若干の違いがあるかもしれません。

近年は、TLS(ウィキペディアより)と言われる後継の通信プロトコルが主流になりつつありますが、SSL3.0もまだ多く使われている事から対応の推奨をしている訳です。

ユーザー側の対応策

深刻な不具合には違いありませんが、ほぼ運営側にまかせるしかないと思います。
普通にブラウザでネットを閲覧しているだけであれば、常に最新のバージョンにしておけばまず問題ないと考えています。

ただし、あまり古いブラウザや、サーバー運営側が対応していないとまれに問題が起こる可能性は否定できません。
対応策などは、IPA(独立行政法人 情報処理推進機構)からアナウンスされています。

対策サーバもしくはクライアントのどちらか一方で、SSL3.0を無効化することで対策できます。
なお、SSL3.0を無効化することで次の影響を受ける可能性があります。
・サーバ側でSSL3.0を無効にした場合一部のクライアントから接続ができなくなる可能性があります。
・クライアント側でSSL3.0を無効にした場合一部のサーバに接続できなくなる可能性があります。

IPA独立行政法人情報処理推進機構より

IPA独立行政法人情報処理推進機構によると、対処方法はサーバー運営側とユーザー側に分かれていますが、ユーザー側であればブラウザの更新に伴い、SSL3.0が無効化される方向にありますのであまり気にする必要はなさそうです。

参照リンク

・SSL3.0に深刻なセキュリティ脆弱性-Googleが発見(マイナビニュースより)

・SSL3.0の脆弱性対策について(IPA独立行政法人情報処理推進機構より) 対応情報など随時更新中

*****     まとめ     *****
  • 推奨レベルでも対応は必要
    複雑な条件下で起こる不具合とはいえ、ユーザー側であれば常にブラウザを最新状態に保っておく事が重要だと思います。
    使用ブラウザがIEであれば、ツール→→インターネットオプション→→詳細設定で「SSL3.0を使用する」という項目がありますのでチェックをはずして適用してください。
    これでどこかのサイトが反応しなくなった場合、その運営側の対応が済んでいない可能性があります。
  • 対応を迫られるサーバー運営側
    SSL3.0で運営している所はそんなに多くはないとの情報ですが、世界的に見たらまだまだ使っている所は多いはずです。
    その弊害を出さない為にも運営側には迅速な対応をお願いしたい所です。
ソニーストア
Pocket