SSL 3.0に深刻なセキュリティ脆弱性 - Googleが発見

Googleセキュリティチーム10月14日(米国時間)、「Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback」において、登場してから15年にもなるSSL 3.0の設計に問題があることを発見したと伝えた。この問題を悪用されると、攻撃者によって通信内容を推測される危険性があるとしており注意が必要。Googleでは向こう数ヵ月の間にGoogle ChromeなどのクライアントプロダクトからSSL 3.0の使用を完全に廃止すると説明している。

現在でもいくつかのサイトはSSL 3.0を使用しているため、クライアントプロダクトがSSL 3.0の使用を廃止した場合、そうしたサイトにはアクセスできなくなる。Googleでは、互換性を維持したままこのセキュリティ脆弱性の影響を低減する方法として「TLS_FALLBACK_SCSVをサポートすればよいと」説明。Googleでは実際に2月からTLS_FALLBACK_SCSVのサポートを開始しており、互換性を維持したまま影響の低減を実現していると指摘している。

こうした取り組みは、他のブラウザベンダーやプロジェクトでも発表されている。Mozillaは「The POODLE Attack and the End of SSL 3.0」において、11月25日に公開が予定されているFirefox 34からはSSL 3.0のサポートをデフォルトで廃止すると説明。Mozillaの観測によれば、FirefoxがSSL 3.0を使った通信をする割合はHTTPS通信の0.3%ほどだと指摘。数字で見ると小さいが、Web全体としてその値を考えると1日当たり何百万トランザクションに相当すると説明している。