2014年10月15日 15:26
SSL 3.0に深刻なセキュリティ脆弱性 - Googleが発見
Googleセキュリティチーム10月14日(米国時間)、「Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback」において、登場してから15年にもなるSSL 3.0の設計に問題があることを発見したと伝えた。この問題を悪用されると、攻撃者によって通信内容を推測される危険性があるとしており注意が必要。Googleでは向こう数ヵ月の間にGoogle ChromeなどのクライアントプロダクトからSSL 3.0の使用を完全に廃止すると説明している。
現在でもいくつかのサイトはSSL 3.0を使用しているため、クライアントプロダクトがSSL 3.0の使用を廃止した場合、そうしたサイトにはアクセスできなくなる。Googleでは、互換性を維持したままこのセキュリティ脆弱性の影響を低減する方法として「TLS_FALLBACK_SCSVをサポートすればよいと」説明。Googleでは実際に2月からTLS_FALLBACK_SCSVのサポートを開始しており、互換性を維持したまま影響の低減を実現していると指摘している。