POODLE(SSLv3)
Padding Oracle On Downgraded Legacy Encryption
関連するエラー
「このサーバーではSSLv3プロトコルが有効化されており、Poodle(SSLv3)攻撃に対する脆弱性があります。サーバーでSSLv3を無効化してください。」
問題
2014年、Googleの研究者は「POODLE」(Padding Oracle On Downgrading Legacy Encryption)脆弱性と呼ばれるSSL 3.0プロトコルの脆弱性を発見しました。
SSL 3.0プロトコルが有効化されていると、MITM(中間者)は暗号化された接続を傍受し、傍受された接続の平文を計算することができます。
SSL 3.0の脆弱性/セキュリティ欠陥には、以下があります。
メッセージ完全性がセキュアではない。
MITM攻撃に対する脆弱性がある。
POODLE攻撃に対抗するための最も効果的な方法は、SSL 3.0プロトコルを無効化することです。
ソリューション
サーバー側
サーバーでSSL 3.0プロトコルを無効にし、TLS 1.2または1.3を有効にします。
クライアント側
上記に加えて、デジサートはクライアント側でSSL 3.0プロトコルを無効化し、TLSプロトコル(1.2または1.3)を有効にすることをお勧めします。