SSL3.0の脆弱性「POODLE」の自分のブラウザでの対応チェック と Internet Explorer にてSSL3.0の無効化設定を入れる手順




投稿日:

SSL3.0の脆弱性「POODLE」の影響と各サービス・企業の対応 | 田舎に住みたいエンジニアの日記

こちらの記事にあるように、SSL3.0の脆弱性「POODLE」が発表されました。ユーザ側でSSL3.0を無効にする事が必要となります。まずは、自分のブラウザがSSL3.0を利用しているのかを見てみましょう。

SSLv3 Poodle Attack Check
https://www.poodletest.com/

下のの画像(vulnerable !)が出たら、SSL3を利用していて危ない状態です。画像はサイトからの引用です。
※ 間違えておりましたので修正しました。
vulnerable

Not vulnerableだとOKです。
NOT vulnerable

こちらも同様のサイトです。こちらは、ズバリ答えてくれているので分かりやすいかも知れません。

https://www.ssllabs.com/ssltest/viewMyClient.html

www.ssllabs.com

IEは以下で対応を説明していますが、ChromeやFirefox、Safari等は、プラグインなどを利用して制御しておくしかありません。あとは、それぞれの対応のセキュリティアップデートを待つことになります。以下にそれぞれの対応状況です。

Firefoxは、11月25日リリースのFirefox 34からSSL3.0が廃止になります。

The POODLE Attack and the End of SSL 3.0 | Mozilla Security Blog
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

Google Chromeは、近い将来の対応を進めているようです。日程は未定。TLS_FALLBACK_SCSVを利用してSSL3.0を利用しないようにする事を推奨しています。

Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html

アップデートがあります。(11/5現在)

Chrome 39 SSL3.0 のフォールバック機能の無効化。リリースは、11/18 前後
Chrome 40 SSL3.0 の完全無効化。リリースは、12/30前後を予定。

参考
Google、「Chrome 40」でSSL 3.0を完全無効化へ – ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1411/04/news050.html

Operaでは、Opera12にて対応を検討を進めているそうです。Chromeと同じくTLS_FALLBACK_SCSV導入を検討している模様です。

Security changes in Opera 25; the poodle attacks – Opera Security – Opera Software
http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/


ちなみに、Apple が出したiOS8.1のアップデートは、Poodleに対応しているものの、「iOS 8.1はiPhone 4s以降、iPod touch(第5世代)以降、iPad 2以降に対応する。」とのことなので、それ以前のプラウザでは対応はしていない模様です。ただ、このままにしてはおかないと思うので時期に出るとは思います。


【IEでSSL3.0を無効化する場合】

※ 10/29 マイクロソフトが無効化ツール「Fix it」を発表しました。これを利用すればワンクリックで無効に出来ます。是非利用しましょう。

詳細はこちらに記載しています。

MicrosoftがSSL3.0の脆弱性「POODLE」に対して、ワンクリックでInternet ExplorerのSSL3.0を無効にするツール「Fix it」を発表。すぐに利用すべし。 | 田舎に住みたいエンジニアの日記

もちろん以下の手動での対応でも問題ありません。

1, Internet Explorer > [ツール] > [インターネット オプション] > [詳細設定] タブをクリックします。
2, [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにする。[OK] をクリックします。
3, 終了し、Internet Explorer を再起動する。

以下はデフォルトの状態です。SSL3.0が有効になっています。

IE

設定後にもう一度、自分のブラウザが無効になったかをテストしましょう。

SSLv3 Poodle Attack Check
https://www.poodletest.com/

https://www.ssllabs.com/ssltest/viewMyClient.html


【SSL3.0を無効化した場合のブラウザや端末への影響】

調べるほど、SSL3.0の影響が大きいのを実感してきました。SSL3.0が無効になることで、SSL系をサポートしていた旧来のブラウザ等が利用できなくなります。スマホやアプリでも影響はありそうです。

こちら、後日まとめようかと思います。


参考

Transport Layer Security – Wikipedia
http://ja.wikipedia.org/wiki/Transport_Layer_Security#SSL_3.0

マイクロソフト セキュリティ アドバイザリ 3009008
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx




PR あなたのホームページ、安全性に自信がありますか?NTT東日本の「Webセキュリティ診断」でお手軽点検!