サイフにやさしいSSL証明書。ベリサイン(Verisign)、Geotrust、RapidSSLが低価格、最安。
メニューSSL証明書 - メニュー
ご相談はお気軽にお電話を:048-837-7778
資料/情報

 POODLE(SSL 3.0脆弱性)への対応について


POODLE(暗号化データが一部漏洩する危険性のある、SSL3.0の脆弱性)への対応手順は下記のとおりです。
なお、このPOODLE脆弱性(CVE-2014-3566)は、SSL3.0のプロトコルそのものに存在している脆弱性であり、特定のライブラリや製品の実装上の脆弱性ではありません。

SSL3.0の使用をやめる


SSL3.0プロトコルそのものに存在している脆弱性であるため、最も確実な対応方法はSSL3.0の利用をやめることになります。
ただし、TLSに非対応なクライアント(XPのIE6と、古めのフィーチャーフォン(ガラケー)など)からのアクセスができなくなります。

Apacheであれば例えば以下のように設定して、SSL3.0の使用をやめます。
<VirtualHost (IPアドレス):443>
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLHonorCipherOrder on
    SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

    SSLCertificateKeyFile   /root/sslfiles/server.key
    SSLCertificateFile      /root/sslfiles/server.crt
    SSLCertificateChainFile /root/sslfiles/server.chain ## 中間証明書が無い場合はこの行が不要

    ServerAdmin  (設定値)
    DocumentRoot (設定値)
    ServerName   (設定値)
    ErrorLog     (設定値)
    CustomLog    (設定値)

    Header add Strict-Transport-Security "max-age=15768000" ## mod_headers が有効な場合
</VirtualHost>

TLS Fallback Signaling Cipher Suite Value (SCSV)


SCSVによって、TLS通信のハンドシェイクが失敗した時に、より低いバージョンのプロトコルで再接続を試みるみることが禁止されます。
SCSVが有効になっていると、中間者攻撃によってハンドシェイクが失敗しても、SSL3.0が使用されることがありません。

TLSに非対応なクライアント(XPのIE6と、古めのフィーチャーフォン(ガラケー)など)を切り捨てることのできない環境においては、SCSVをご検討ください。


 SSL証明書-TOP  資料/情報-TOP
トップに戻る