SSL 3.0の脆弱性対策をしよう

最近知ったことなのですが、SSL 3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在するそうです。一定の条件が満たされると、通信の一部が第三者に漏えいする可能性があります。

IPA 情報処理推進機構 更新：SSL 3.0 の脆弱性対策について(CVE-2014-3566)

SSLって何？とおっしゃる方もいると思いますので、簡単に説明します。
ログインやインターネットバンキング、ショッピングなどで、重要な情報を通信するときには、通信を暗号化して安全に行います。このときの暗号化の一つの方法がSSL（Secure Sockets Layer）です。そのほかにも(Transport Layer Security)があります。

今回、SSL 3.0の脆弱性が見つかったことから、企業などではSSL 3.0を使わない方向にもなってきています。ご自分のブラウザの設定でSSL 3.0を使わなくすることもできます。

2つのブラウザ（Internet Explorer/Chrome）について設定方法をお知らせします。

Internet Explorer
IEを起動したら、設定ボタンからインターネットオプションを選びます。


詳細設定のタブをクリックします。


SSL3.0のチェックを外し、TLS1.1とTLS1.2のチェックを入れます。


最後にOKをクリックします。


Chrome
IEのように設定がないので、起動オプションに -ssl-version-min=tls1 を付けて起動します。
デスクトップのショートカットのプロパティを選びます。


リンク先の部分に、起動オプション -ssl-version-min=tls1 を追加して、OKをクリックします。


もし、SSL3.0を外したことで、HTTPSが通信が失敗することがあれば、それはWebサーバがTLSに対応していないので、設定を元に戻すしかありません。

今回の件は、緊急に対応しなければいけないというものではありませんが、脆弱性がある以上、対応しておいたほうがいいと思います。

あー、なんか久しぶりにITネタでした^^

次回もお楽しみに!!

コメント 25

さっそく試してみました。
良い情報、ありがとうございます。
by MERRY (2014-11-22 13:35) 

MERRYさん、いつもnice!&コメントありがとうございます。
さっそくやってくれたのですね^^
今回は緊急ではないですが、大切な情報は漏らしたくないですよね。
by assimane (2014-11-22 14:37) 

こんにちは＾＾
ちょっとやってみます。
by mimimomo (2014-11-22 14:54) 

やりました＾＾
ありがとうございました。
by mimimomo (2014-11-22 14:55) 

SSLの脆弱性、目にしつつどうしたら良いのか分からなかったので助かります～
早速設定しなくては～
by デルフィー (2014-11-22 18:51) 

mimimomoさん、いつもnice!&コメントありがとうございます。
1分で完了ですね^^
お疲れさまでした。
by assimane (2014-11-22 21:53) 

デルフィーさん、いつもnice!&コメントありがとうございます。
時間のあるときにどうぞ。
Chromeはそのうちバージョンアップされて、SSL3.0は使わないようになります。
by assimane (2014-11-22 21:54) 

SSLの脆弱性、気になります。
明日にでもやってみますね。
貴重な情報、ありがとうございます。
by しろうさぎ (2014-11-23 00:58) 

しろうさぎさん、いつもnice!&コメントありがとうございます。
こういった脆弱性の情報がテレビニュースで流れないと分からないですね。
ぜひ、やってみてください。
by assimane (2014-11-23 09:31) 

ちょっと変えてみたんですが、ブログ入力が今までとちょっと違う感じ
になり、使い勝手がすごく悪くなっちゃったので、
とりあえず、元に戻しちゃいました。
大丈夫かなあ、とちょっと心配です。
by MERRY (2014-11-23 16:02) 

MERRYさん、こんにちは^^
あらら、使い勝手が変わっちゃった？
そうれなら仕方ないですね。
by assimane (2014-11-23 16:10) 

いつも勉強になります＝
by サニー (2014-11-23 22:09) 

サニーさん、いつもnice!&コメントありがとうございます。
お役に立ててなによりです^^
by assimane (2014-11-23 23:53) 

　こんばんは。

　わかりやすい手順を、ありがとうございます。
私もやってみようと思います。
by まる (2014-11-24 00:21) 

いろいろ勉強になります。
by pandan (2014-11-24 07:38) 

まるさん、いつもnice!&コメントありがとうございます。
風邪はいかがですか？早く治してくださいね。
ぜひ、やってみてください。これで安心ですね。
by assimane (2014-11-24 07:48) 

pandanさん、いつもnice!&コメントありがとうございます。
お役に立ててなによりです^^
by assimane (2014-11-24 07:48) 

インターネットバンキングやってますが　こういうの疎いので心配です
私やったらグチャグチャになりそうで・・
by junko-a (2014-11-24 10:37) 

SSL3.0はだいぶ問題になっていますね。
ちなみに私はFirefox使いなんですけど、その場合は、以下の方法でできるようですが・・11/25以降のバージョンアップをすればいいっぽいです。
①アドレスバーに「about:config」と入力する。
②「動作保証対象外になります！」って画面が出るので「細心の注意を払って使用する」ボタンを押します。
③検索フィールドに「security.tls」を入力すると、TLSに関する設定項目が出てきます。
④そこで、「security.tls.version.min」をダブルクリック
⑤「整数値を入力してください」とでたら、1を入力する
こんな感じでできるみたいです。ちなみにFirefoxもChrome同様、バージョンアップでSSL3.0は使わなくなるらしいです。
11/25のバージョンアップで対応するそうですので、適用をお忘れなく…
（参考URL）
http://www.mozilla.jp/blog/entry/10433/

以上、Firefoxユーザーの補足でした。
by Hiloyan (2014-11-24 12:13) 

私も参考にさせて頂きます。
怖いですね。
ありがとうございました。
それにしても、すごい情報をお持ちですね！すごい！

by vnori (2014-11-24 16:59) 

junko-aさん、いつもnice!&コメントありがとうございます。
慣れていないと、分からなくなっちゃうね。
周りでできる人がいるといいね。
by assimane (2014-11-24 22:48) 

Hiloyanさん、いつもnice!&コメントありがとうございます。
Firefoxの情報ありがとうございます。
FirefoxもバージョンアップでSSL3.0は使わないようになるのですね。
by assimane (2014-11-24 22:49) 

vnoriさん、いつもnice!&コメントありがとうございます。
こういう情報はわかりやすく提供したいと思っています。
焦らせたり困らせたりしていたら、ごめんなさいね。
by assimane (2014-11-24 22:51) 

あとでやってみます。
by ゆうみ (2014-11-29 00:47) 

ゆうみさん、いつもnice!&コメントありがとうございます。
うん、やってみてくださいね。
わからないことは訊いてくださいね^^
by assimane (2014-11-29 01:00)