先月、SSL3.0(暗号技術)に脆弱性が見つかりました。
POODLEと言われています。
暗号技術だけにマイクロソフトがどう対処するか・・・でしたが、即効の対応はどうやらなく、先月末にSSL3.0は無効にしてくれと言う対処方法が発表されました。
マイクロソフト SSL 3.0 の脆弱性により、情報漏えいが起こる
具体的には、情報処理推進機構のWEBページの絵がわかりやすいかもしれません。
SSL 3.0 の脆弱性対策について(CVE-2014-3566)
さて、ここからが本題です。
メーカーがSSL3.0を使うな。
としたため、オンラインバンキングやオンライン発注システムをはじめとする、要は暗号化してデーターのやりとりをするWEBサイトがどうやら片っ端からSSLからTLSに暗号技術を変えている模様です。
そのため、SSL3.0が有効で、TLSを無効にしていると、WEBサイトがSSL3.0対策をした瞬間に
「ページが表示できません」
となり、WEBサイトが見られないという事態に陥ります。
とあるサイトの案内文です。
突如オンラインバンキング・オンライン発注・その他暗号を使ってやりとりしているWEBサイトを使用していて、
「ページが表示できません」
とでましたら、インターネットエクスプローラー(IE)のSSL・TLS設定をしてください。
方法は、
・画面右上の「ギアのアイコン」をクリック→「インターネットオプション」をクリック→「詳細設定」をクリック
・「セキュリティ」のところの
SSL3.0を使用するのレ点を外す
TLS1.0を使用する (IE10,11の場合はTLS1.1、TLS1.2も) にレ点をつける
です。
下に図で解説いたします。
すべてのブラウザにいえることですが、この手のサイトはインターネットエクスプローラーを基準にしていることが多いので、IEにて解説いたしました。
他のブラウザを使用されている場合は、そのブラウザの設定も各自必要になるのでご注意ください。
以下にFirefox・ChromeのTLS有効化の設定方法を書いておきます。
・firefoxの設定方法
アドレスバーに about:config と入力し、アドレスバー右側の「進む」の矢印をクリック
↓
about:config ページで「検索」欄に「tls」と入力し「設定名」リストの表示を待つ
↓
リスト内の security.tls.version.min をダブルクリック
↓
「整数値を入力してください」ウィンドウで security.tls.version.min の下の入力欄に '1' と入力し、「OK」をクリック
・google Chromeの設定方法
Google Chrome ショートカットアイコンを右クリックし「プロパティ」をクリック
↓
「Google Chrome のプロパティ」ウィンドウで「ショートカット」を開き、「リンク先」入力欄で以下の追加を行う
追加する位置
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe のうしろ
追加する文字列
--ssl-version-min=tls1
例:C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --ssl-version-min=tls1
"chrome.exe" と "--ssl-version-min=tls1" の間には、必ず上の例のように半角スペースを入れる
↓
適用・OKとクリック
・Safariの設定方法
「Safari」メニューから「環境設定」をクリック
↓
「詳細」をクリック
↓
「プロキシ」の「設定を変更」をクリック
↓
「プロキシの構成」が「手入力」になっていることを確認し、「構成するプロトコルを選択」内の「保護された Web プロキシ(HTTPS)」にチェックボックスをオンにして、「OK」をクリック
↓
終了し、Safariを再起動にて設定完了
以上です。
Firefox・Chromeは結構ややこしいので、自信がない場合はサポート等に依頼されるとよいかもしれませんね。