SSL・EV SSL サーバー証明書 サポート

SSL3.0に脆弱性 利用している場合は停止が必要

新たに見つかったSSL3.0の脆弱性POODLE

2014年10月14日(現地時間)、Google は潜在的に暗号化されたデータが解読可能になるSSL3.0の脆弱性を発表しました。
この脆弱性はSSLサーバ証明書そのものに影響を与えることはないので、サーバー証明書の再発行や再インストールは必要ありませんが、DigiCertなどのセキュリティ専門家は、システム管理者が管理サーバーのSSL3.0を無効にし、TLS1.1または1.2を使用することを推奨しています。

本サイト(/)ではSSL3.0を利用していませんので、フォーム等を利用いただく際にも、この脆弱性の影響を受けることはありません。

SSL3.0は15年前に利用されるようになった古いプロトコルですが、いまだにSSL3.0を利用しているサイトが多数あります。
Webブラウザがサポートしているプロトコルと、HTTPSサーバがサポートしているプロトコルのミスマッチなどが発生した場合、SSL 3.0などの古いプロトコルで再接続を行うため、SSL3.0が残ってきたという経緯があります。
攻撃者は、意図的に接続障害を発生させ、再接続時に SSL3.0のこの脆弱性を利用します。

対策

まず、管理サーバーが SSL 3.0を利用しているかどうかを確認してください。
不明の場合は、Qualys SSL LABS SSL Server Testでのサイト評価を参考にQualys SSL LABS SSL Server Testでのサイトテストを実施してください。
このテストで、サイトで利用しているプロトコルを調べることができます。

SSL3.0の利用停止方法

上記以外のサーバーのSSL3.0の利用停止方法については、ご利用のサーバーの公式サイトなどをご参照ください。

プロバイダ等が提供しているサーバーを利用している場合は、プロバイダの管理者にSSL3.0の停止を要請してください。

ブラウザでのSSL3.0の利用停止方法

上記以外のブラウザのSSL3.0の利用停止方法については、ブラウザの公式サイトなどをご参照ください。

SSL3.0を利用していないサーバーでは本件での対応は不要です。

RMS

・SSLサーバー証明書

・コードサイニング
その他証明書

・バウチャ(クーポン)

お見積依頼

Copyright © cybervision Hosting. All rights reserved.