DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. サポート
  3. 技術情報
  4. SSL 3.0 POODLE 脆弱性と対策

SSL3.0に脆弱性 利用している場合は停止が必要

新たに見つかったSSL3.0の脆弱性POODLE

2014年10月14日(現地時間)、Google は潜在的に暗号化されたデータが解読可能になるSSL3.0の脆弱性を発表しました。
この脆弱性はSSLサーバ証明書そのものに影響を与えることはないので、サーバー証明書の再発行や再インストールは必要ありませんが、DigiCertなどのセキュリティ専門家は、システム管理者が管理サーバーのSSL3.0を無効にし、TLS1.1または1.2を使用することを推奨しています。

本サイト(/)ではSSL3.0を利用していませんので、フォーム等を利用いただく際にも、この脆弱性の影響を受けることはありません。

SSL3.0は15年前に利用されるようになった古いプロトコルですが、いまだにSSL3.0を利用しているサイトが多数あります。
Webブラウザがサポートしているプロトコルと、HTTPSサーバがサポートしているプロトコルのミスマッチなどが発生した場合、SSL 3.0などの古いプロトコルで再接続を行うため、SSL3.0が残ってきたという経緯があります。
攻撃者は、意図的に接続障害を発生させ、再接続時に SSL3.0のこの脆弱性を利用します。

対策

まず、管理サーバーが SSL 3.0を利用しているかどうかを確認してください。
不明の場合は、Qualys SSL LABS SSL Server Testでのサイト評価を参考にQualys SSL LABS SSL Server Testでのサイトテストを実施してください。
このテストで、サイトで利用しているプロトコルを調べることができます。

SSL3.0の利用停止方法

上記以外のサーバーのSSL3.0の利用停止方法については、ご利用のサーバーの公式サイトなどをご参照ください。

プロバイダ等が提供しているサーバーを利用している場合は、プロバイダの管理者にSSL3.0の停止を要請してください。

ブラウザでのSSL3.0の利用停止方法

上記以外のブラウザのSSL3.0の利用停止方法については、ブラウザの公式サイトなどをご参照ください。

SSL3.0を利用していないサーバーでは本件での対応は不要です。
SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース