重要
平素はEINS/PKI+に格別のご高配を賜り、厚く御礼申し上げます。
このたびSSL3.0(Secure Sockets Layer3.0)に重大な脆弱性が発見されましたので、お知らせいたします。以下の内容をご確認いただき、該当サーバ・クライアントに対策を実施してください。
今回発表されたPOODLE(Padding Oracle On Downgraded Legacy Encryption)と名付けられた当脆弱性を利用した攻撃では、SSL3.0を有効にしているサーバとの通信において、ブラウザに保存されたパスワードやCookie情報が第三者に漏えいする可能性があります。
SSL3.0を利用しているサーバ、クライアント上でこの脆弱性を悪用された場合にhttpsの通信内容の一部が漏えいする恐れがあります。
※このたびの脆弱性はSSL3.0のプロトコルに起因するものとなるため、サーバ証明書、秘密鍵に直接影響するものではございません。 現在ご利用中のサーバ証明書の失効処理や再発行は不要です。
サーバ環境においてSSL3.0が無効化されているかをご確認ください。
下記OpenSSLコマンドを実行すると、アクセス先のサーバにてSSL3.0利用状況を確認できます。
#openssl s_client -ssl3 -connect [host]:[port]
例) openssl s_client -ssl3 -connect www.einspki.jp:443
SSL3.0が無効の場合は以下のようなエラーになります。
SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx
◆SSL3.0を無効にする設定例(Apacheをご利用の場合)
SSLProtocol all -SSLv2 -SSLv3
※参考 :SSLProtocol Directive
◆SSL3.0を無効にする設定例(IISをご利用の場合)
レジストリの編集が必要となります。下記、マイクロソフト社の資料をご確認ください。
※参考 :インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法
※上記の作業にてご不明な点はサーバの管理者、またはサーバ管理会社にお問い合わせください。
※サーバにおけるSSL3.0無効化の方法は、ご利用のハードウェアやソフトウェアによって異なりますので、マニュアル等をご確認いただくか、提供元へお問い合わせください。
1.最新のブラウザにアップデート
2.ブラウザの設定においてSSL3.0を無効にするか、または拡張機能を使ってSSL.3.0を無効にしてください。
MicroSoft Internet Explorer | 「ツール」→「インターネット オプション」→「詳細設定」の中の「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックがついていたら、チェックを外す。 |
---|---|
Mozilla Firefox |
1.アドレスバーに “about:config”を入力し、Enterキーを押下。 2.「動作保証対象外になります」という警告ページが表示されるので「細心の注意を払って使用する」をクリックし、about:configページを開く。 3.検索フィールドに”security:tls”を入力し、検索結果一覧の「security.tls.version.min」の値を確認する。 4.値が「0」の場合はSSLプロトコルの設定がSSL3.0に設定されているため、SSL3.0を利用しないプロトコル、TLS1.0「1」に変更する。 ※参考 :Security.tls.version.* |
Google Chrome | 最新のブラウザでは当脆弱性に対応済みのため、chromeのバージョンアップを実施してください。 ※参考 :Google Chrome を更新する。 |
※ブラウザにおけるSSL3.0無効化の方法は、ご利用のソフトウェアによって異なりますので、マニュアル等をご確認いただくか、提供元へお問い合わせください。
SSL3.0を無効化する場合は、サーバおよびクライアント環境を十分にご確認の上、作業を実施してください。 クライアント環境が組み込み機器や古い携帯電話等の場合、サーバへアクセスできなくなる場合があります。
本件に関してご不明な点等ございましたら、下記窓口までお問合せください。
お問合せにつきましては、電子メール・電話にて承ります。
株式会社インテック ネットワークソリューション部 |
---|
E-mail Address :einspki_support@intec.co.jp (平日 <土・日、祝祭日以外> 9:00~17:00) |