セキュリティ

情報漏洩を回避 SSL 3.0 を無効にして脆弱性対策をしよう

ssl3
photo credit: FutUndBeidl via photopin cc

SSL 3.0の脆弱性により情報漏洩が起こるとのことなので、大手WEBサービスなどはSSL3.0の利用を停止している模様です。
この脆弱性の対策としては、サーバもしくはクライアントのどちらか一方で、SSL3.0を無効化することで対策できるようです。
今回は、サーバー側の手順とクライアント側での対策方法のご紹介です。

SSL 3.0 の脆弱性 概要

SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。 ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。 サーバ管理者および利用者は対策の要否を検討し、必要に応じて後述の対策を実施してください。

ということらしいです。
知らずに利用していたら、怖いですね。

対策方法

サーバもしくはクライアントのどちらか一方で、SSL 3.0 を無効化することで対策できます。
SSL 3.0 を無効化することで次の影響を受ける可能性があるとのことです。

  • サーバ側で SSL 3.0 を無効にした場合
    一部のクライアントから接続ができなくなる可能性があります。
  • クライアント側で SSL 3.0 を無効にした場合
    一部のサーバに接続できなくなる可能性があります。

Webサーバー側での対策

対策方法は、Apacheのhttpd.confに下記のように設定をします。

SSLv2 および SSLv3 を無効にする (SSLv2 と SSLv3 以外はすべて有効にする)

SSLProtocol All -SSLv2 -SSLv3

TLSv1.x 以外をすべて無効にする

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

上記の設定をしたら、httpd を再起動します。

 # service httpd restart

以上でWebサーバー側での対策は完了となります。

ブラウザ側での対策

次にブラウザ側の対策をしていきましょう。
また、ブラウザ側でSSL3.0の無効にするとWebサイトがSSL3.0しか対応していない場合は、アクセス出来なくなりますが、そんなサイトには現時点では、アクセスしないほうが良いでしょう。

Internet Explorer

Internet Explorerは、現時点では最も簡単にSSL3.0を無効にすることが出来ます(個人的感想)。
Internet Explorerのインターネットオプションから詳細設定で【SSL3.0を使用する】のチェックを外します。
次に【TLS1.0 TLS1.1 TLS1.2】にチェックを入れれば完了となります。

opusyon

Chrome

設定がありませんので、起動オプションに【-ssl-version-min=tls1】を付けて起動させる方法があるようです。
Windowsであれば、ショートカットのプロパティを表示しリンク先の部分に、下記のように起動オプションを追加します。

"C:¥...¥chrome.exe" -ssl-version-min=tls1

また、Chromeでは数カ月後には、SSL3.0のサポートを完全に打ち切る予定であると発表していますので、SSL3.0を完全にサポートしていないバージョンが出ると思います

Firefox

Firefoxは、次期バージョンからデフォルトでSSL3.0を無効化すると発表していますが、来月(2014年11月)のアップデートまではSSL3.0は、標準で有効になっていますので、安全にWebを閲覧するためにアドオンが用意されているようです。

SSL Version Control

上記までは、Webサーバー側とブラウザ側のSSL3.0の脆弱性対策となります。

参考

こちらの記事をシェアする

こちらの記事があなたのお役にたちましたら、シェアしていただけますと大変嬉しく今後のブログ更新の糧となりますのでどうぞよろしくお願いします。(^^♪

About

Glow-Facotryでは、無料・有料のWPテーマを配布・販売サイトです。また、Web関連やWPの記事・日常的(ゲームも)なことをブログを利用して発信して行きたいと思っております。
よかったら下記のフォローをお気軽にお願いします。

関連記事

コメント

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

PREVIOUS Homepage3-708x442

【無料】Webデザインの参考にモダンなコーポレートPSDテンプレート

NEXT hunterxhunter

HUNTER×HUNTER バトルオールスターズ VS レイザー(上級) 14人の悪魔を攻略したパーティメンバー