IT担当者向けに備忘録メモをつけておきます。

そのため、細かい説明は割愛し端的に説明します。

脆弱性診断テストは必ずしも正しいとは限らない

https://www.poodletest.com

などについては、ブラウザがSSL v3を有効にしているか無効にしているかの判断しかしません。
そのためSSL v3を有効にしつつ、他の手法で回避策を講じている場合、脆弱性があると診断されてしまう場合があります。

Internet Explorerについて

インターネットオプションの詳細設定より、TLSのみONにしておいてください。

WindowsXPのInternet Explorer 6では、デフォルトでTLSがOFFになっているので、SSL v3のOFFだけでなく、TLSのONも必要です。

Mozilla Firefoxについて

アドオンを使ってうまくいかないようなら、手動で設定を変更してみてください。

URLに「about:config」と入れて、設定を出し、「securty.tls.version.min」の値を「1」にし、TLSしか使わないようにします。

なお次期Firefox 34でSSL v3は削除されます。

Google Chromeについて

Chrome 40（開発版）では、SSL v3は削除されています。現在38が最新であり6週間に1度メジャーバージョンアップを出すサイクルのため、数カ月先には対処される予定ですね。

1. 2014年2月に導入した、TLS_FALLBACK_SCSVという機能の実装
2. 2014年10月14日時点の公式発表「This POODLE bites: exploiting the SSL 3.0 fallback (Google Online Security Blog)」の時点で、TLS_FALLBACK_SCSVによるSSLv3利用をブロック（停止）した

とあります。
いろいろ情報を漁っていくと、TLS_FALLBACK_SCSVは、まずTLSでアクセスし、ダメならSSL v3を試すという機能のようです（ざっくりいうと）。そのため、ブラウザ上ではTLSもSSL v3も有効だけど、この機能内でSSL v3へのアクセスを無効にすることによってTLSを最初に試した後、SSL v3を試さないようにしているということのようです。

ですのでテストでVulnerableとでても、対処されているということになる。。。ということです。

まぁユーザー側がでテストする方法がないので、Googleの発表を信頼するしかありませんね。

それがいやなら、–ssl-version-min=tls1 オプションをつけて、Google Chromeを起動してください。明示的にSSL v3が無効になって起動します。方法は

• https://zmap.io/sslv3/browsers.html

にアクセスして確認してみてください。

Safariについて

Security Update 2014-005のパッチによって対処済みということです。

でもテストでは脆弱性があると出てきてしまいます。

Apple patches OS X to protect against POODLE（COMPUTERWORLD）の記事によれば、Appleがいうように対処されているようには見えないとのことですが、詳細は不明です。

とりあえず上記パッチがあたっているかの確認ぐらいしか手は打てないと思います。

※さらにパッチはMacOX 10.8, 10.9, 10.10のみです。10.7以下はサポート対象外ってことでしょう。

Operaについて

設定→詳細設定→セキュリティ→セキュリティプロトコルについて、SSLをOFFにします。

外国人向け

• https://zmap.io/sslv3

にアクセスしてもらって、Vulnerableがあれば、対処方法が詳しく出てくるので、これを参照してもらいましょう。

メールサーバーシステムの対処（postfix）

• smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
• smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
• smtp_tls_protocols = !SSLv2 !SSLv3
• smtpd_tls_protocols = !SSLv2 !SSLv3
• lmtp_tls_mandatory_protocols = !SSLv2 !SSLv3
• lmtp_tls_protocols = !SSLv2 !SSLv3

あたりを加えておけばよいと思う。
もちろん、端末側でSSLv3を認証で使っているなら、使わないように設定が必要です。

Dovecotの設定については未検証のため、

• http://www.heinlein-support.de/blog/security/deaktivieren-sie-sslv3-apachepostfixdovecot-poodle-bug/

などを参考にするとよいと思います。

ウェブサーバー機器への対処

テスト方法

• https://www.ssllabs.com/ssltest/index.html

の「Configuration」項目の「Protcols」において、SSL 2, SSL 3がNOになっていればOK

 

Windowsサーバー（IIS）

IIS Cryptoツールを利用し、PCT1.0, SSL2.0, SSL3.0を無効化

IIS Crypto GUI version 1.5 build 6 (.Net 4.0, 98 KB)を利用

※もちろんサーバーにいれたブラウザも対応しておきましょう。

Apache (httpd + mod_ssl)

参照：https://access.redhat.com/ja/solutions/1232613

SSLProtocol設定について

1. SSLProtocol -ALL +TLSv1 の設定をします。
2. Apacheを再起動します。
3. https://www.ssllabs.com/ssltest/index.html　にアクセスして、プロトコルとしてTLSしか使われていないことを確認

が一番しっくり来る設定に思います。

NGINX

自分自身で使っていないので検証できませんが、

http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols

を参考にすると、

ssl_protocols TLS v1 TLSv1.1 TLSv1.2;

として再起動する

ってことかなと思います。

 

2014年11月12日　情報処理室長・木谷