POODLE (SSLv3)

ダウングレードしたレガシー暗号化上のパディングオラクル攻撃

関連エラー

“このサーバーでは SSLv3 プロトコルが有効で、Poodle (SSLv3) 攻撃に対して脆弱性があります。サーバー上で SSLv3 を無効にします。"

問題

2014年、Google 研究者は SSL 3.0 プロトコルの脆弱性を発見し、"POODLE" 脆弱性 (Padding Oracle On Downgrading Legacy Encryption) と命名。

SSL 3.0 プロトコルが有効になっている場合、MITM (中間者攻撃) は、暗号化された接続に割り込み、割り込んだ接続の平文を計算することができます。

SSL 3.0 脆弱性/セキュリティの欠陥:

  • メッセージ完全性は安全ではない
  • 中間者(Man-In-The-Middle)攻撃に脆弱性がある

POODLE 攻撃に対応するもっとも効果的な方法は、SSL 3.0 プロトコルを無効にすることです。

ソリューション

サーバーサイド

サーバー上で SSL 3.0 プロトコルを無効にし、TLS 1.2 または 1.3 を有効にします。

クライアントサイト

また、DigiCert では、クライアントサイドで SSL 3.0 プロトコルを無効にし、TLS プロトコル (1.2 または 1.3) を有効にすることをお勧めします。