Skip to main content

POODLE(SSLv3)

Padding Oracle On Downgraded Legacy Encryption

関連するエラー

「このサーバーではSSLv3プロトコルが有効化されており、Poodle(SSLv3)攻撃に対する脆弱性があります。サーバーでSSLv3を無効化してください。」

問題

2014年、Googleの研究者は「POODLE」(Padding Oracle On Downgrading Legacy Encryption)脆弱性と呼ばれるSSL 3.0プロトコルの脆弱性を発見しました。

SSL 3.0プロトコルが有効化されていると、MITM(中間者)は暗号化された接続を傍受し、傍受された接続の平文を計算することができます。

SSL 3.0の脆弱性/セキュリティ欠陥には、以下があります。

  • メッセージ完全性がセキュアではない。

  • MITM攻撃に対する脆弱性がある。

POODLE攻撃に対抗するための最も効果的な方法は、SSL 3.0プロトコルを無効化することです。

ソリューション

サーバー側

サーバーでSSL 3.0プロトコルを無効にし、TLS 1.2または1.3を有効にします。

クライアント側

上記に加えて、デジサートはクライアント側でSSL 3.0プロトコルを無効化し、TLSプロトコル(1.2または1.3)を有効にすることをお勧めします。