Googleは火曜日、「SSLバージョン3.0の設計に脆弱性」を発見したと発表した。
Google が指摘する脆弱性セキュリティブログで発表詳細については、セキュリティ勧告[PDF リンク]、「ネットワーク攻撃者が安全な接続の平文を計算できるようになります。」
関連項目:
Google の Bodo Möller 氏が、Google 社員の Thai Duong 氏と Krzysztofkotowicz 氏とともにこの問題を発見しました。
インターネットの暗号化とセキュリティに使用されるセキュリティ プロトコルである SSL に問題が発生したのは、これが初めてではありません。今年の初めに、OpenSSL で知られる何年も前のバグが発見されました。ハートブリード公に明らかにされました。
この特定のバグは SSL バージョン 3.0 に影響を及ぼしますが、Google によれば、このバージョンは 15 年近く前のものです。これは TLS 1.0、TLS 1.1、TLS 1.2 に置き換えられましたが、最新の TLS 実装のほとんどは依然として Open SSL 3.0 と下位互換性があるため、発見は依然として懸念されています。
ほとんどの Web ブラウザは依然として SSL 3.0 をサポートしており、他の何かが機能していない場合、またはプロトコルの使用がネットワーク攻撃者によって引き起こされた場合には、ドロップダウンで古いプロトコルをサポートすることもできます。
Google によれば、SSL 3.0 サポートを無効にするだけで問題を軽減できますが、互換性の問題が発生する可能性があります。したがって、同社は、クライアントが失敗した接続を再試行するときに SSL 3.0 が使用されないようにする TLS_FALLBACK_SCSV のサポートを発表しました。
Googleは、Chromeが2月からTLS_FALLBACK_SCSVをサポートしており、火曜日にSSL 3.0へのフォールバックを無効にする変更をテストしていると述べた。 Google は今後数か月以内に、すべての製品から SSL 3.0 のサポートを削除したいと考えています。
銀色の裏地
Google が発見した問題は深刻に見えますが、幸いなことに、Web ブラウザの新しいバージョンにアップグレードすることで軽減できるということです。 Google Chrome、Mozilla Firefox、Opera の場合、ブラウザのローリング自動更新の性質により、ユーザーは修正を迅速に入手できます。
Mozilla (Firefox)、Microsoft (Internet Explorer)、Apple (Safari) が、TLS_FALLBACK_SCSV をサポートするためのブラウザのアップデートを発行し、Google に続いて SSL 3.0 のサポートを終了すると予想されます。
SSL 3.0 のサポートが終了すると機能しなくなる可能性がある Web サイトの場合、コードを最新の標準に直ちに更新する責任はサイト管理者にあります。
この物語はまだ発展途上です