SSL3.0の脆弱性に関するお知らせ

平素は、セコムパスポートfor Webシリーズをご利用いただき誠にありがとうございます。
 さて、2014 年 10 月 14 日に米国Google社 のセキュリティチームからSSL3.0の脆弱性に関する発表がありましたので、お知らせいたします。

１．内容

今回発表されたPOODLE（Padding Oracle On Downgraded Legacy Encryption）」という名の脆弱性は、SSL3.0で使用されるCBC暗号アルゴリズムの問題によるものであり、HTTPSトラフィックから認証Cookieが解読される恐れがあります。

２．影響

この脆弱性が悪用された場合、HTTPSの通信内容の一部が漏えいする恐れがあります。

※このたびの脆弱性はSSL3.0のプロトコルに起因するものとなるため、サーバー証明書、秘密鍵に直接影響するものではございません。
 現在ご利用中のサーバー証明書の失効処理や再発行は不要です。

３．対策

サーバー環境においてSSL3.0が無効化されているかをご確認ください。

・SSL3.0無効化の確認方法：
 　OpenSSLコマンドを実行すると、アクセス先サーバーにてSSL3.0の状況を確認できます

openssl s_client -ssl3 -connect [host]:[port]
例) openssl s_client -ssl3 -connect www.secomtrust.net:443

SSL3.0が無効の場合は以下のようなエラーになります。

SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx

(ご留意点)
※SSL3.0を無効化する場合は、サーバーおよびクライアント環境を十分にご確認の上、作業を実施ください。
クライアント環境が組み込み機器や古い携帯電話等の場合、サーバーへアクセスできなくなる場合があります。
※サーバーにおけるSSL3.0無効化の方法は、ご利用のハードウェアやソフトウェアによって異なりますので、マニュアル等をご確認いただくか、提供元へお問い合わせください。

４．お問い合わせ先

ご不明点などございましたら、こちらまでお問い合わせください。