Mozilla Japan ブログ

Mozilla、Firefox、Firefox OS、Thunderbird の最新情報をお伝えします

個別記事アーカイブ

SSL 3.0 の POODLE 脆弱性への対応について

各所で報道されていますように、SSL 3.0 に深刻な問題が発見されました。POODLE と呼ばれるこの脆弱性を利用することで、攻撃者は SSLv3 の通信からパスワードや cookie のような情報を盗み取ることが可能になります。

これに対応するため、Mozilla は米国時間の 2014 年 11 月 25 日に公開が予定されている Firefox の次バージョンより SSLv3 をサポートせず、標準状態では利用できなくすることを決めました。この設定は、10/14 夜(米国時間)に公開された Nightly ビルドで既に有効になっています。また次々バージョンより SCSV と呼ばれる、TLS のダウングレード保護機構をサポートします。

来月 (2014 年 11 月)のアップデートまでは、SSLv3は標準で有効になっています。安全に Web を閲覧するためにも、SSL Version Control アドオンを利用して、SSLv3を無効にしてください。

また Web サイト管理者の方は、管理されているサイトの設定を見直し、なるだけはやく SSLv3 を無効にされることをお勧めします。Internet Explorer 6 を除く、多くのブラウザは TLS 1.0 に対応しております。そのため SSLv3 を有効にする理由は少ないと思われます。設定の詳細についてはMozilla's Server Site TLS guidelines (英語) をご覧ください。

本件に関する詳細は Mozilla Security blog でご覧になれます。そちらもあわせてご覧ください。

前後の記事

前の記事: Android 版 Firefox から直接 TV に動画を送信できるようになりました。
次の記事: UX デザインに興味のある方に向けた Firefox OS アプリ作成ワークショップ