Microsoftは、 SSL 3.0がInternet Explorerのデフォルト構成およびMicrosoftのオンラインサービス全体で今後数か月で無効になることを発表しています 。 TLS 1.0、TLS 1.1、TLS 1.2などのより安全なセキュリティプロトコルにクライアントとサービスを移行することをお勧めします。
SSL 3.0の脆弱性により、情報漏えいが起こる
前述の脆弱性CVE-2014-3566(セキュリティO n D独自のレガシー暗号化を追加するP )は、Microsoft製品に特に見られる通常の脆弱性には適用されません。 それはいわゆるタイプに属します。 「業界全体の脆弱性」であり、以前に発見された非常に危険なハートブリードの脆弱性に多少似ています。 しかし、POODLEの場合、状況はそれほど重大ではありません。
脆弱性自体は、サイバー犯罪者がクライアントとサーバー間のSSL 3.0接続を確立するプロセスに干渉し、将来、暗号化された接続データを傍受する、つまり中間者などの攻撃を行うことができるということです。 この脆弱性は、サーバーに保存されているデジタル証明書またはその秘密キーには適用されないため、このバージョンのSSLを使用する場合の再発行は必要ありません。
Windowsでこのプロトコルを使用する可能性を手動で無効にすることに関する情報は、 ここの回避策セクションで見つけることができます 。
Googleアナリストによる詳細なレポートで脆弱性について詳しく読むことができます。
図 最適なセキュリティ設定を使用するWindows 8.1 x64上のIE11。 SSL 3.0暗号化プロトコルを使用するオプションは、システム管理者の設定により無効になっています。 自動Fixitツールと回避策セクションの指示を使用して、それを無効にすることもできます。 同時に、暗号化プロトコルTLS 1.0、TLS 1.1、およびTLS 1.2の使用を有効にする必要があります 。
Microsoftは近い将来、すべてのバージョンのInternet ExplorerでデフォルトでSSL 3.0を使用するオプションを無効にする予定です。
安全である。