web-dev-qa-db-ja.com

OpenSSL Poodleの脆弱性に対応して、SSLv3を無効にする必要がありますか?

OpenSSLは、メモリルーチンに別の新しい脆弱性を発表しました。ここですべてを読むことができます: https://www.openssl.org/news/secadv_20141015.txt

回避策は、SSLv3を無効にすることです。

  • これにより、当社のWebサイトでHTTPSが完全に無効になりますか?
  • どのクライアントがまだSSLv3に依存していますが、それらのサポートについて心配する必要がありますか?
sslopensslvulnerabilities
8
Oxon

いいえ、WebサイトへのHTTPS接続が切断されることはありません。 TLSv1(およびソフトウェアが十分に新しい場合は新しいバージョン)は、ほとんどすべてのブラウザーですでに使用されています(Windows XPのIE6を除く)。

構成でTLSv1が有効になっていることを確認しますが、ほとんどすべてのサーバー側SSL構成でデフォルトで有効になっています。

21
Shane Madden

はい、SSLv3を無効にする必要があります。 TLSが失敗した場合、ブラウザーはSSLv3などの古いプロトコルを使用しようとするため、Poodleは機能します。 MITMはこれを悪用する可能性があります(新しいTLS SCSVがクライアントとサーバーでサポートされていない限り、Chrome atmのみをサポートします)。Poodle攻撃の詳細に関する非常に優れた記事については、を参照してください。 : https://security.stackexchange.com/q/70719

SSLv3はいくつかの方法で壊れています そして問題に対処する最良の方法は15年前にTLSに取って代わられたのでそれを無効にすることです。 WebサイトでSSLv3を使用していて、IE6 on XP(IE7 on XP is good))を気にしない場合は、安全に行う必要があります。無効にします。

SSLv3を無効にすることの実行可能性は、関連する質問で議論されています: プードル:サーバーでSSL V3を無効にすることは本当に解決策ですか?

あなたがそれにいる間、あなたは他の問題があるかどうか見るためにあなたのサイトでテストを実行したいかもしれません: https://www.ssllabs.com/ssltest/

6
cypres