SSL3.0/TLS1.0における脆弱性

SSL3.0/TLS1.0における脆弱性

2011年9月30日 オフ 投稿者: ぱる☆ミ

SSLの通信であれば暗号化されているので安全!というのも過去の話

最も多くWebサーバにて実装されているTLS1.0にて、暗号が解読される脆弱性が発見(BEAST(Browser Exploit Against SSL/TLS)と呼ばれる手法による)されたからです

発表の論文→http://insecure.cl/Beast-SSL.rar

マイクロソフトのセキュリティアドバイザリ→http://technet.microsoft.com/ja-jp/security/advisory/2588513

上記のサイトによれば、回避策は

Windows 7 または Windows Server 2008 R2 システムの Internet Explorer で TLS 1.1 および/または 1.2 を有効にする

この脆弱性の影響を受けない別のバージョンの TLS プロトコルを有効にすることが可能です。これは、Internet Explorer の「詳細設定」から、変更が可能です。

HTTPS リクエストで使用される既定のプロトコルバージョンを変更するには、次のステップに従ってください。

    1. [ツール] メニューの [インターネット オプション] をクリックします。
    2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
    3. [セキュリティ] のカテゴリで、[TLS 1.1 を使用する] および/または [TLS 1.2 を使用する] のチェックボックスを選択します。
    4. [OK] をクリックします。
    5. 一度 Internet Explorer を閉じ、再起動します。

と、記載されていますので必要に応じて適用するのが良いでしょう

でも結局はhttpsで接続したいサーバ側がTLS1.1以降に対応していないと、いくらクライアント側が頑張ろうとしても意味が無いんだよなぁ(^^;

まぁ、即暗号が破られるほど緊急性が高いわけでは無いけど、ちょっと気持ちが悪いよね

少なくとも、Webブラウザの「鍵マーク」がちゃんと表示されていることぐらいは確認しましょう

フィッシングとかで非正規のサイトに飛ばされて脆弱性を突かれていたら、それはやられても致し方なしなので・・・

この問題、各Webブラウザの対応が完了するまで 引き続き注視なのです