SSL3.0の脆弱性に関する情報と対処方法について
SSL3.0問題って、そもそも何でしょう?
インターネット上で情報を閲覧する際、こちらから何か情報を入力する場合、
IDやパスワードなどを入力する際に、通信経路のどこかで『盗み読み』されることを防ぐため、暗号化通信を行います。その仕組み・技術や規格のことを、SSL と呼びます。
※正確に言うと、SSL技術は 標準規格として採用された際に TLS という規格に組み込まれています。
セキュリティー通信などに関して、最新の規格では、TLS 1.2 でありますが、
(2014/12現在)
暗号化通信規格 = SSL という印象が強く、現状でも暗号化通信手段のことを、SSL と呼ぶことも多いです。
ちょっと省きますが、この SSL3.0 に長い間脆弱性が残っていて、ある手順を踏めば暗号化されているはずの通信が『傍受されてしまう』のだそうで、それで大騒ぎになっています。
→ IPA:SSL 3.0 の脆弱性対策について(CVE-2014-3566)
安全に情報を送る手段は?
新しい規格、TLS 1.0以降を有効にするよう推奨されています。
OS や ブラウザー各社の推奨方法は、『SSL3.0 を用いずTLSを有効にした通信を。』となっています。
これは、サーバ側と、クライアント側(お使いのパソコン側)とで、それぞれできることがあります。
設定を変更すると、どのような事が起こりますか?
SSL3.0利用中のサーバに、SSL3.0 のみを有効にしたPCでアクセス
この場合、SSL3.0を用いて通信を行います。(危険な組み合わせ)
(a) SSL3.0利用中のサーバに、TLS での通信設定をしたPCでアクセス
(a)と(b)で条件が変わります。
(a) TLS を含む全ての規格に対応していた場合。
お互いが利用できる規格の中で、新しい規格、この例の場合 TLS1.0~1.2 で通信を行います。
よって、いつもと同じように通信・表示が可能です。
(b) SSL3.0利用中のサーバに、TLS での通信設定をしたPCでアクセス
(a)と(b)で条件が変わります。
(b) TLS 未対応などのサーバ場合。
サーバ側は、SSL3.0 での通信を期待しますが、パソコン側は SSL3.0 での通信を行わない(ように設定している)ため、お互いが合意の取れる通信規格がなくエラーが発生します。
よって、何かしらのエラー画面が表示され、いつも通りの利用ができません。
ここは、企業側の設定次第なので、実施してみて初めて判ることとなります。
業務などで日々接続しているサイト(サーバ)がある場合には、事前に対処方法を問い合わせておく必要がありますね。
突然、サーバ(サイト)にアクセスできなくなった
この場合、サーバ側がTLSでのみ接続できるよう変更をし、お客様の環境が SSLのみで接続を行うモードであったと推察できます。(ただし、他の通信トラブル全般が発生していないという条件で。)
クライアント側で行う、設定手順など
ブラウザー側で行う対処方法をまとめます。有名な3種のブラウザーを示します。
Chrome 自体は、Chrome の次版リリースにて対処予定とのこと。
Internet Explorer (IE)
→ Windows における SSL 3.0 の無効化
→ 【回避策まとめ】 セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開
FixIt という自動修正ツールが提供されているようなので、一般的にはこちらの方法を推奨いたします。
Firefox
次版のリリースにて、SSL3.0が無効化されるようですが、現行のバージョンにて機能を無効化するアドオンが公開されています。
→ Mozilla Japan Blog:Firefox で SSL 3.0 を無効化するアドオンが公開されています。
Google Chrome
将来リリースされる予定の次版にて、SSL3.0を無効にするそうです。
(2014/12/03記載。)
難しいことは判らないが対策はしたい!
上記のリンク先を見ても、よく判らない!が、しかし、何らかの対処はしておきたい。
という方は、当店にて作業の代行や、上記に関するご説明などを行います。