脆弱性のものってあるの?

SSLで脆弱性ってあるのか。欠陥がないものを使用したい - SSL ver3.0の脆弱性について

SSL ver3.0の脆弱性について

SSL ver3.0に深刻な脆弱性が見つかったという情報が流れました。この脆弱性は通称「POODLE(プードル)」と呼ばれています。
なんて可愛い名前!と思うかもしれませんが、名前に反して脆弱性そのものはかわいくありません。
その「POODLE」についてお伝えします。

■POODLEを利用されるとどうなるのか?

POODLEで攻撃されるとcookieなど、こちらの個人情報を見られてしまいます。この個人情報を見られるとパスワードなどもわかってしまうので、アカウントの乗っ取り・通販サイトで買い物をされる・メールを閲覧されるなどの被害が想定されます。

■なぜPOODLEによる攻撃ができてしまうのか?

そもそもSSL ver3.0とはかなり古いバージョンで、現在はTLS1.2が最新のバージョンになります。
しかし、未だにSSL ver3.0を使っているサイトが多いのが実情でもあります。そして、SSL/TLSにはサーバーと接続する側のどちらかが最新バージョンに対応していない場合は古いバージョンで接続するという仕組みがあります。そのため自分が接続使用としたサイトが古いバージョンにしか対応していない場合はPOODLEに攻撃されてしまう恐れがあるのだ。
zfrstrs
また、そうでなくともPOODLEによる攻撃で強制的にSSLのバージョンを下げることもできるという。
そのためPOODLEによる攻撃ができてしまうという状況が発生している。

■どうすれば対策できるのか?

この対策はSSL ver3.0を無効にすれば大丈夫です。また、サイト管理者側はSSL ver3.0のサポートを無効にすることができますのでそれで対策が可能です。
詳しい無効の方法は調べると出てきますので、ぜひご確認ください。
POODLEの怖さがわかっていただけましたでしょうか?POODLEを甘く見ていると大変なことになってしまう可能性がありますので、ぜひ一度状態の確認と対策をすることをオススメします。
こんにちは。皆さん、SSLには2種類のものがあるとご存知でしたでしょうか?
普段パソコンを使って仕事をしていても、そこまでは中々知る機会もないのではないでしょうか?
そこで今回は、2種類のSSLである「共有SSL」と「独自SSL」についてお伝えします。

■共有SSL

共有SSLと独自SSLの大きな違いは「SSLサーバー証明書」と「ドメイン」になります。
共有SSLはSSLサーバー証明書をレンタルサーバー会社など自分以外の他者が代行して取得したものを、文字通り共有して利用します。
そのため、SSLを利用するページ、つまり個人情報を入力するページなどでは自分が運営しているホームページのドメインでなく、代行取得したところのドメイン・ページになってしまいます。
それにより、個人情報を入力するところで違和感を覚えさせてしまったり、逆に信用が下がってしまうという場合もあります。
しかし1つのSSLサーバー証明書を複数人で共有するため、SSLサーバー証明書が安価で使えるというメリットもあります。

■独自SSL

逆に独自SSLはSSLサーバー証明書を自分で購入・取得して自分だけで使うSSLになります。
そのため、SSLを利用する個人情報入力ページなどもドメインが変わることもないので、利用者にも安心して使ってもらいやすくなります。
ただし、自分でSSLサーバー証明書を取得するため、料金的には共有SSLと比べると高くなりがちです。
まとめると以下のようになります。
・共有SSL
長所:料金が安価
短所:ドメインが途中で変わることにより信用度が下がる可能性がある
・独自SSL
長所:信用度が高い
短所:料金が共有SSLよりは高く、手間もかかる
自身のサイトの利用方法などによってどちらのタイプを使うかどうかを決めていただければと思います。

Copyright(C)2015 脆弱性のものってあるの? All Rights Reserved.