SSL3.0のプロトコルについて、新たな脆弱性「POODLE」が確認されました。

———————————————————————————
※ご注意※

こちらはSSL証明書の脆弱性ではございませんので、再購入などは必要ございません。
Webサーバー側とWebブラウザ側のセキュリティを要求する通信上で利用されるプロトコルに関する脆弱性となります。
———————————————————————————

このPOODLE(Padding Oracle On Downgraded Legacy Encryption)を悪用されると、SSL 3.0を利用したWebサーバとWebブラウザの通信において、パスワード等の重要情報やCookie情報が第三者に漏えいする可能性があります。

SSL3.0は15年前の古いバージョンのプロトコルとなっており、その後TLSなどの通信プロトコルが新たに公開されておりますが、多くのWebサーバーでは古いバージョンでの通信が来た場合を想定し、現在も設定が有効なままのケースが多くあるかと思われます。

SSL3.0よりも新しい通信プロトコルを利用しているWebサーバーにつきましては、上記の脆弱性対策のため、SSL3.0を無効化することを推奨いたます。

また、非常に環境が古く、SSL3.0に依存するようなWebサイトの場合は、無効にすることが難しいかと思いますので、新しい環境での再構築をこの機会にご検討ください。

※Webブラウザ側がSSL3.0のみでしか通信できないようなケースがあった場合には、無効化することで、通信できなくなる可能性もございますが、セキュリティ面を考えますと、ユーザー側に他のブラウザをご利用いただくなどで回避していただくことが望ましいと考えます。なお、現在、主要なブラウザの提供元でも、このSSL3.0についてサポートしないよう改変していく計画を発表している状況でございます。

■対象:

・VPS、クラウドサーバー、使えるクラウドをご利用のお客様

※ご注意※
・2011年2月より販売のFX用VPSプランをご利用のお客様は、特に対応の必要はございません。
・共有サーバープランをご利用のお客様は、特に対応の必要はございません。

■対策について:

―SSL 3.0の有効無効の確認方法
ご契約サーバーに入り、以下OpenSSLコマンドを実行することで、アクセス先サーバでSSL 3.0が
有効または無効になっているか確認いただけます。

#openssl s_client -ssl3 -connect [サイトのドメイン名]:[ポート]

例)
-bash-3.00# openssl s_client -ssl3 -connect "www.tsukaeru.net:443"
CONNECTED(00000003)
3659:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3
alert handshake failure:s3_pkt.c:1052:SSL alert number 40
3659:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl
handshake failure:s3_pkt.c:529:


―SSL 3.0が無効な場合は以下のようなエラーになります。

SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:
/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src
/ssl/s3_pkt.c:xxx:

―SSL 3.0を無効にする設定例【Apacheの場合】
apacheの設定ファイルを以下のように修正します。修正後、apacheの再起動をお願いします。

SSLProtocol all -SSLv2 -SSLv3

―SSL 3.0を無効にする設定例【Nginxの場合】
nginxの設定ファイルを以下のように修正します。修正後、nginxの再起動をお願いします。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

―SSL 3.0を無効にする設定例【IISの場合】
レジストリの変更が必要になります。マイクロソフト社の情報をご確認のうえ、ご対応をお願いします。


なお、お客様にてご対応が難しい場合は、有料スポットサポートでお承りしておりますので、 サポートセンター へお気軽にお問い合わせください。

また、上記の設定例はこの脆弱性を利用した攻撃として最も多く考えられるWebサーバーのSSL通信を想定した内容となっておりますが、
SSL通信はWebサーバー以外でも行われる場合もございますので、必要に応じてこちらのページに順次対策を追加させていただく場合がございます。

■関連情報:

https://www.openssl.org/~bodo/ssl-poodle.pdf
https://technet.microsoft.com/en-us/library/security/3009008