SSL 3.0に「POODLE」と呼ばれる深刻な脆弱性が見つかった問題で、米Googleは12月下旬にリリースする予定のWebブラウザChromeの安定版「Chrome 40」でSSL 3.0を完全に無効にする計画を明らかにした。
Googleのセキュリティ担当者によると、まずChrome次期バージョンの「Chrome 39」でSSL 3.0へのフォールバック機能をデフォルトで無効にする。この機能が有効になった状態では、HTTPSサーバのバグによりページに接続できない場合、攻撃者がネットワーク経由でSSL 3.0を使ったHTTPS接続を強要することが可能だった。
安定版のChrome 39は11月18日ごろにリリースされる見通し。SSL 3.0へのフォールバック機能は、Chromeプレ開発者版の「Canary」と開発者版の「Dev」、およびβ版では既に無効になっている。
SSL 3.0を完全無効化するChrome 40は12月30日ごろリリースされる見通し。これに先立ちChrome 39ではSSL 3.0を使ったWebサイトの鍵アイコン上に黄色いバッジを表示して、Chrome 40がリリースされるまでに少なくともTLS 1.0にアップデートするよう促す。
POODLEの脆弱性を巡っては、Microsoftも今後数カ月以内にInternet Explorer(IE)でSSL 3.0へのフォールバック機能を無効にするとともに、IEおよび同社オンラインサービス全般でSSL 3.0をデフォルトで無効にする計画を明らかにした。
MozillaのFirefoxも11月25日にリリース予定の「Firefox 34」からSSL 3.0がデフォルトで無効になる。
関連記事
- MicrosoftがSSL 3.0の「POODLE」脆弱性問題に対処 「Fix it」公開
- AppleのiOS 8.1、SSL 3.0の脆弱性などを修正
- Apple、プッシュ通知サービスでのSSL 3.0サポートを10月29日に終了 POODLE対策で
- SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.