Microsoft、IE11でSSL 3.0を無効化

OpenSSLの脆弱性、SSL/TLSの仕組み上の問題点などを悪用した脆弱性の報告などが相次ぐなか、主要ブラウザの開発ベンダやプロジェクトは、ブラウザそのものの実装をや設定を安全方向に振るような取り組みを始めている。

例えば、Microsoftは4月14日(米国時間)、「April 2015 security updates for Internet Explorer - IEBlog - Site Home - MSDN Blogs」において、4月のアップデートで、Internet Explorer 11について、デフォルトの状態でSSL 3.0を無効にしたと説明した。

企業ユースにおいては互換性確保の目的でSSL 3.0を有効化できるようにはなっているが、MicrosoftではWebサービスやWebアプリケーションをより新しいプロトコルであるTLS 1.2などへ移行させることを推奨しており、SSL 3.0は使わないように求めている。

SSL 3.0は安全な通信プロトコルとしてはすでに古いプロトコルとされており、特定の条件が揃う必要があるものの、通信内容が第三者に読み取られる脆弱性が存在することが知られている。