お知らせ

SSL3.0の脆弱性に関するお知らせ

  重要

平素はEINS/PKI+に格別のご高配を賜り、厚く御礼申し上げます。

このたびSSL3.0(Secure Sockets Layer3.0)に重大な脆弱性が発見されましたので、お知らせいたします。以下の内容をご確認いただき、該当サーバ・クライアントに対策を実施してください。

概要

今回発表されたPOODLE(Padding Oracle On Downgraded Legacy Encryption)と名付けられた当脆弱性を利用した攻撃では、SSL3.0を有効にしているサーバとの通信において、ブラウザに保存されたパスワードやCookie情報が第三者に漏えいする可能性があります。

対象

SSL3.0を利用しているサーバ、クライアント上でこの脆弱性を悪用された場合にhttpsの通信内容の一部が漏えいする恐れがあります。

※このたびの脆弱性はSSL3.0のプロトコルに起因するものとなるため、サーバ証明書、秘密鍵に直接影響するものではございません。 現在ご利用中のサーバ証明書の失効処理や再発行は不要です。

対応策

サーバ上での確認方法及び対策について

サーバ環境においてSSL3.0が無効化されているかをご確認ください。

下記OpenSSLコマンドを実行すると、アクセス先のサーバにてSSL3.0利用状況を確認できます。

#openssl s_client -ssl3 -connect [host]:[port]
例) openssl s_client -ssl3 -connect www.einspki.jp:443


SSL3.0が無効の場合は以下のようなエラーになります。

SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40


SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx


◆SSL3.0を無効にする設定例(Apacheをご利用の場合)

SSLProtocol all -SSLv2 -SSLv3
※参考 :SSLProtocol Directive


◆SSL3.0を無効にする設定例(IISをご利用の場合)

レジストリの編集が必要となります。下記、マイクロソフト社の資料をご確認ください。

※参考 :インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法


※上記の作業にてご不明な点はサーバの管理者、またはサーバ管理会社にお問い合わせください。
※サーバにおけるSSL3.0無効化の方法は、ご利用のハードウェアやソフトウェアによって異なりますので、マニュアル等をご確認いただくか、提供元へお問い合わせください。


クライアント上での確認方法及び対策について

1.最新のブラウザにアップデート

2.ブラウザの設定においてSSL3.0を無効にするか、または拡張機能を使ってSSL.3.0を無効にしてください。

MicroSoft Internet Explorer 「ツール」→「インターネット オプション」→「詳細設定」の中の「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックがついていたら、チェックを外す。
Mozilla Firefox 1.アドレスバーに “about:config”を入力し、Enterキーを押下。
2.「動作保証対象外になります」という警告ページが表示されるので「細心の注意を払って使用する」をクリックし、about:configページを開く。
3.検索フィールドに”security:tls”を入力し、検索結果一覧の「security.tls.version.min」の値を確認する。
4.値が「0」の場合はSSLプロトコルの設定がSSL3.0に設定されているため、SSL3.0を利用しないプロトコル、TLS1.0「1」に変更する。
※参考 :Security.tls.version.*
Google Chrome 最新のブラウザでは当脆弱性に対応済みのため、chromeのバージョンアップを実施してください。
※参考 :Google Chrome を更新する。

※ブラウザにおけるSSL3.0無効化の方法は、ご利用のソフトウェアによって異なりますので、マニュアル等をご確認いただくか、提供元へお問い合わせください。

SSL3.0対応後の影響について

SSL3.0を無効化する場合は、サーバおよびクライアント環境を十分にご確認の上、作業を実施してください。 クライアント環境が組み込み機器や古い携帯電話等の場合、サーバへアクセスできなくなる場合があります。

お問い合わせ窓口

本件に関してご不明な点等ございましたら、下記窓口までお問合せください。
お問合せにつきましては、電子メール・電話にて承ります。

株式会社インテック ネットワークソリューション部
E-mail Address :einspki_support@intec.co.jp

(平日 <土・日、祝祭日以外> 9:00~17:00)